Svi korisnici Windowsa trebali bi se odmah ažurirati čim se potvrdi 'Complete Control' hack

Prije nekoliko tjedana, istraživači iz tvrtke Eclypsium za kibernetičku sigurnost otkrila da gotovo svi glavni proizvođači hardvera imaju manu koja može dopustiti zlonamjernim aplikacijama da steknu privilegije kernela na korisničkoj razini, čime dobivaju izravan pristup firmveru i hardveru.

Istraživači su objavili popis dobavljača BIOS-a i proizvođača hardvera koji uključuje Toshiba, ASUS, Huawei, Intel, Nvidia i više. Greška također utječe na sve nove verzije sustava Windows koje uključuju Windows 7, 8, 8.1 i Windows 10. Iako je Microsoft već objavio izjavu kojom potvrđuje da je Windows Defender više nego sposoban riješiti problem, nisu spomenuli da korisnici trebaju biti na najnovijoj verziji sustava Windows kako biste iskoristili iste. Za starije verzije sustava Windows, Microsoft je napomenuo da će koristiti HVCI (Hypervisor-enforced Code Integrity) mogućnost da stavi na crnu listu upravljačkih programa koji su im prijavljeni. Nažalost, ova je značajka dostupna samo na Intelovim procesorima 7. generacije i kasnije; tako da stariji procesori ili noviji gdje je HCVI onemogućen, zahtijevaju da se upravljački programi ručno deinstaliraju.

Ako ovo nije bila dovoljno loša vijest, hakeri su sada uspjeli iskoristiti nedostatak za iskorištavanje korisnika. Trojanac za daljinski pristup ili RAT postoji godinama, ali nedavni razvoji učinili su ga opasnijim nego ikad. NanoCore RAT se prodavao na Dark Webu za 25 dolara, ali je razbijen još 2014. i besplatna verzija je stavljena na raspolaganje hakerima. Nakon toga, alat je postao sofisticiran jer su mu dodani novi dodaci. Sada su istraživači iz LMNTRX Labsa otkrili novi dodatak koji hakerima omogućuje da iskoriste nedostatak i alat je sada besplatno dostupan na Dark Webu.

U slučaju da ste podcijenili alat, on može omogućiti hakeru daljinsko isključivanje ili ponovno pokretanje sustava, daljinsko pregledavanje datoteka, pristup Upravitelju zadataka, uređivaču registra, pa čak i mišem i upravljanje njima. I ne samo to, napadač također može otvoriti web stranice, onemogućiti svjetlo aktivnosti web kamere kako bi neprimjetno špijunirao žrtvu i snimio audio i video. Budući da napadač ima potpuni pristup računalu, također može oporaviti lozinke i dobiti vjerodajnice za prijavu pomoću keyloggera, kao i zaključati računalo prilagođenom enkripcijom koja može djelovati kao ransomware.

Dobra vijest je da NanoCore RAT postoji već godinama, a softver je dobro poznat istraživačima sigurnosti. LMNTRX tim (preko Forbes) podijelio je tehnike otkrivanja u tri glavne kategorije:

• T1064 – Skriptiranje: Budući da administratori sustava obično koriste skriptiranje za obavljanje rutinskih zadataka, svako anomalno izvršavanje legitimnih skriptnih programa, kao što su PowerShell ili Wscript, može signalizirati sumnjivo ponašanje. Provjera uredskih datoteka za makro kod također može pomoći identificirati skripte koje koriste napadači. Procesi sustava Office, kao što su winword.exe koji stvaraju instance cmd.exe, ili skriptne aplikacije poput wscript.exe i powershell.exe, mogu ukazivati ​​na zlonamjernu aktivnost.

• T1060 – Ključevi za pokretanje registra / mapa za pokretanje: Nadgledanje registra za promjene za pokretanje ključeva koje nisu u korelaciji s poznatim softverom ili ciklusima zakrpa, te praćenje početne mape za dodatke ili promjene, može pomoći u otkrivanju zlonamjernog softvera. Sumnjivi programi koji se izvršavaju pri pokretanju mogu se prikazati kao izvanredni procesi koji prije nisu viđeni u usporedbi s povijesnim podacima. Rješenja kao što je LMNTRIX Respond, koja nadzire ove važne lokacije i podiže upozorenja za svaku sumnjivu promjenu ili dodatak, mogu pomoći u otkrivanju ovih ponašanja.

• T1193 – Privitak za krađu identiteta: Sustavi za otkrivanje upada u mrežu, kao što je LMNTRIX Detect, mogu se koristiti za otkrivanje spearphishinga sa zlonamjernim privitcima u prijenosu. U slučaju LMNTRIX Detect-a, ugrađene detonacijske komore mogu otkriti zlonamjerne priloge na temelju ponašanja, a ne potpisa. Ovo je kritično jer otkrivanje temeljeno na potpisu često ne uspijeva zaštititi od napadača koji često mijenjaju i ažuriraju svoj teret.

Općenito, ove tehnike otkrivanja vrijede za organizacije i za osobne/kućne korisnike, najbolja stvar koju trenutno možete učiniti je ažurirati svaki dio softvera kako biste bili sigurni da radi na najnovijoj verziji. To uključuje Windows upravljačke programe, softver trećih strana, pa čak i ažuriranja sustava Windows. Ono što je najvažnije, nemojte preuzimati ili otvarati sumnjivu e-poštu niti instalirati softver treće strane od nepoznatog dobavljača.