Kaikkien Windows-käyttäjien tulee päivittää välittömästi, kun 'Complete Control' -hakkerointi on vahvistettu

Pari viikkoa sitten kyberturvallisuusyhtiö Eclypsiumin tutkijat paljasti että lähes kaikilla suurimmilla laitevalmistajilla on puute, joka voi antaa haitallisille sovelluksille mahdollisuuden saada ytimen käyttöoikeudet käyttäjätasolla ja saada siten suoran pääsyn laiteohjelmistoon ja laitteistoon.

Tutkijat julkaisivat luettelon BIOS-toimittajista ja laitevalmistajista, joihin kuuluivat Toshiba, ASUS, Huawei, Intel, Nvidia ja muut. Virhe vaikuttaa myös kaikkiin uusiin Windows-versioihin, mukaan lukien Windows 7, 8, 8.1 ja Windows 10. Vaikka Microsoft on jo julkaissut lausunnon, joka vahvistaa, että Windows Defender on enemmän kuin kykenevä käsittelemään ongelman, he eivät maininneet, että käyttäjät tarvitsevat käyttää Windowsin viimeisintä versiota, jotta voit hyötyä samasta. Vanhemmissa Windows-versioissa Microsoft totesi, että se käyttää HVCI-ominaisuutta (Hypervisor-enforced Code Integrity) asettaakseen heille ilmoitetut ohjaimet mustalle listalle. Valitettavasti tämä ominaisuus on saatavilla vain 7. sukupolven ja myöhemmissä Intel-prosessoreissa; joten vanhemmat tai uudemmat prosessorit, joissa HCVI on poistettu käytöstä, vaativat ajurien asennuksen manuaalisen poistamisen.

Jos tämä ei ollut tarpeeksi huono uutinen, hakkerit ovat nyt onnistuneet käyttämään virhettä käyttäjien hyväksi. Remote Access Trojan tai RAT on ollut olemassa vuosia, mutta viimeaikainen kehitys on tehnyt siitä vaarallisemman kuin koskaan. NanoCore RAT myytiin Dark Webissä 25 dollarilla, mutta se murrettiin vuonna 2014 ja ilmainen versio julkaistiin hakkereille. Tämän jälkeen työkalusta tuli hienostunut, kun siihen lisättiin uusia laajennuksia. Nyt LMNTRX Labsin tutkijat ovat löytäneet uuden lisäyksen, jonka avulla hakkerit voivat hyödyntää virhettä, ja työkalu on nyt saatavilla ilmaiseksi Dark Webissä.

Jos aliarvioit työkalun, se voi sallia hakkerin sammuttaa tai käynnistää järjestelmän etäyhteyden kautta, selata tiedostoja etänä, käyttää ja ohjata Tehtävienhallintaa, Rekisterieditoria ja jopa hiirtä. Sen lisäksi, että hyökkääjä voi myös avata verkkosivuja, poistaa verkkokameran toimintavalon käytöstä vakoillakseen uhria huomaamatta ja kaapata ääntä ja videota. Koska hyökkääjällä on täysi pääsy tietokoneeseen, hän voi myös palauttaa salasanat ja saada kirjautumistiedot näppäinloggerin avulla sekä lukita tietokoneen mukautetulla salauksella, joka voi toimia kuin kiristysohjelma.

Hyvä uutinen on, että NanoCore RAT on ollut olemassa jo vuosia, ohjelmisto on tietoturvatutkijoille tuttu. LMNTRX joukkue (kautta Forbes) jakoi tunnistustekniikat kolmeen pääluokkaan:

• T1064 – Skriptaus: Koska järjestelmänvalvojat käyttävät yleisesti komentosarjaa rutiinitehtävien suorittamiseen, kaikki laillisten komentosarjaohjelmien, kuten PowerShellin tai Wscriptin, poikkeava suoritus voi olla merkki epäilyttävästä käytöksestä. Office-tiedostojen makrokoodin tarkistaminen voi myös auttaa tunnistamaan hyökkääjien käyttämät komentosarjat. Office-prosessit, kuten winword.exe-kuten cmd.exe-esiintymät tai komentosarjasovellukset, kuten wscript.exe ja powershell.exe, voivat viitata haitalliseen toimintaan.

• T1060 – Rekisterin suoritusavaimet / Käynnistyskansio: Haittaohjelmien havaitseminen voi auttaa havaitsemaan rekisterin muutoksia sellaisten avaimien suorittamiseen, jotka eivät korreloi tunnettujen ohjelmistojen tai korjauspäivitysjaksojen kanssa, ja seurantakansion aloituskansion lisäysten tai muutosten varalta. Epäilyttävät ohjelmat, jotka suoritetaan käynnistyksen yhteydessä, voivat näkyä poikkeavina prosesseina, joita ei ole aiemmin nähty, kun niitä verrataan historiallisiin tietoihin. Ratkaisut, kuten LMNTRIX Respond, joka tarkkailee näitä tärkeitä paikkoja ja hälyttää kaikista epäilyttävistä muutoksista tai lisäyksistä, voivat auttaa havaitsemaan nämä käyttäytymiset.

• T1193 – Tietojenkalasteluliitin: Network Intrusion Detection -järjestelmiä, kuten LMNTRIX Detect, voidaan käyttää haitallisten liitteiden kautta tapahtuvan tietojenkalastelun havaitsemiseen. LMNTRIX Detectin tapauksessa sisäänrakennetut räjähdyskammiot voivat havaita haitalliset liitteet käyttäytymisen perusteella allekirjoitusten sijaan. Tämä on erittäin tärkeää, koska allekirjoituksiin perustuva tunnistus ei useinkaan pysty suojaamaan hyökkääjiä vastaan, jotka muuttavat ja päivittävät usein hyötykuormiaan.

Kaiken kaikkiaan nämä tunnistustekniikat koskevat organisaatioita ja henkilökohtaisia/kotikäyttäjiä. Parasta nyt on päivittää jokainen ohjelmisto varmistaaksesi, että se toimii uusimmalla versiolla. Tämä sisältää Windows-ohjaimet, kolmannen osapuolen ohjelmistot ja jopa Windows-päivitykset. Mikä tärkeintä, älä lataa tai avaa epäilyttäviä sähköpostiviestejä tai asenna mitään kolmannen osapuolen ohjelmistoja tuntemattomalta toimittajalta.