Wszyscy użytkownicy systemu Windows powinni natychmiast dokonać aktualizacji po potwierdzeniu hackowania „Pełna kontrola”.

Kilka tygodni temu naukowcy z firmy Eclypsium zajmującej się cyberbezpieczeństwem ujawnił że prawie wszyscy główni producenci sprzętu mają lukę, która może pozwolić złośliwym aplikacjom na uzyskanie uprawnień jądra na poziomie użytkownika, uzyskując w ten sposób bezpośredni dostęp do oprogramowania sprzętowego i sprzętu.

Badacze opublikowali listę dostawców BIOS-u i producentów sprzętu, która obejmowała firmy Toshiba, ASUS, Huawei, Intel, Nvidia i nie tylko. Błąd dotyczy również wszystkich nowych wersji systemu Windows, w tym Windows 7, 8, 8.1 i Windows 10. Chociaż Microsoft wydał już oświadczenie potwierdzające, że Windows Defender jest w stanie poradzić sobie z problemem, nie wspomniał, że użytkownicy potrzebują być w najnowszej wersji systemu Windows, aby skorzystać z tego samego. W przypadku starszych wersji systemu Windows firma Microsoft zauważyła, że ​​będzie używać funkcji HVCI (hypervisor-enforced Code Integrity) do umieszczania na czarnej liście zgłoszonych im sterowników. Niestety ta funkcja jest dostępna tylko w procesorach Intel 7. generacji i nowszych; więc starsze procesory lub nowsze, w których HCVI jest wyłączony, wymagają ręcznego odinstalowania sterowników.

Jakby tego było mało złych wieści, hakerzy zdołali teraz wykorzystać tę lukę do wykorzystania użytkowników. Trojan zdalnego dostępu lub RAT istnieje od lat, ale ostatnie wydarzenia sprawiły, że jest on bardziej niebezpieczny niż kiedykolwiek. NanoCore RAT sprzedawał się w Dark Web za 25 USD, ale został złamany w 2014 roku, a bezpłatna wersja została udostępniona hakerom. Następnie narzędzie stało się wyrafinowane, ponieważ dodano do niego nowe wtyczki. Teraz naukowcy z LMNTRX Labs odkryli nowy dodatek, który pozwala hakerom wykorzystać lukę, a narzędzie jest teraz dostępne za darmo w Dark Web.

Jeśli nie doceniłeś narzędzia, może ono pozwolić hakerowi na zdalne zamknięcie lub ponowne uruchomienie systemu, zdalne przeglądanie plików, dostęp i kontrolę nad Menedżerem zadań, Edytorem rejestru, a nawet myszą. Nie tylko to, ale atakujący może również otwierać strony internetowe, wyłączać lampkę aktywności kamery internetowej, aby szpiegować ofiarę niezauważenie i przechwytywać dźwięk i wideo. Ponieważ atakujący ma pełny dostęp do komputera, może również odzyskać hasła i uzyskać dane logowania za pomocą keyloggera, a także zablokować komputer za pomocą niestandardowego szyfrowania, które może działać jak oprogramowanie ransomware.

Dobrą wiadomością jest to, że NanoCore RAT istnieje od lat, oprogramowanie jest dobrze znane badaczom bezpieczeństwa. Zespół LMNTRX (przez Forbes) podzielono techniki wykrywania na trzy główne kategorie:

• T1064 – Skrypty: Ponieważ administratorzy systemów często używają skryptów do wykonywania rutynowych zadań, każde nietypowe wykonanie legalnych programów skryptowych, takich jak PowerShell lub Wscript, może sygnalizować podejrzane zachowanie. Sprawdzanie plików pakietu Office pod kątem kodu makr może również pomóc w identyfikacji skryptów używanych przez atakujących. Procesy pakietu Office, takie jak inicjowanie instancji cmd.exe przez winword.exe lub aplikacje skryptowe, takie jak wscript.exe i powershell.exe, mogą wskazywać na złośliwą aktywność.

• T1060 – Klucze uruchamiania rejestru / folder startowy: Monitorowanie rejestru pod kątem zmian w uruchamianiu kluczy, które nie są skorelowane ze znanym oprogramowaniem lub cyklami poprawek, oraz monitorowanie folderu startowego pod kątem dodatków lub zmian może pomóc w wykryciu złośliwego oprogramowania. Podejrzane programy uruchamiane podczas uruchamiania mogą być wyświetlane jako procesy odstające, których wcześniej nie widziano w porównaniu z danymi historycznymi. Rozwiązania takie jak LMNTRIX Respond, który monitoruje te ważne lokalizacje i generuje alerty o każdej podejrzanej zmianie lub dodaniu, mogą pomóc w wykryciu tych zachowań.

• T1193 — Załącznik do spearphishingu: Systemy wykrywania włamań do sieci, takie jak LMNTRIX Detect, mogą być używane do wykrywania phishingu ze złośliwymi załącznikami w trakcie przesyłania. W przypadku LMNTRIX Detect wbudowane komory detonacyjne mogą wykrywać złośliwe załączniki na podstawie zachowania, a nie sygnatur. Jest to krytyczne, ponieważ wykrywanie oparte na sygnaturach często nie chroni przed atakującymi, którzy często zmieniają i aktualizują swoje ładunki.

Ogólnie rzecz biorąc, te techniki wykrywania mają zastosowanie w organizacjach i użytkownikach osobistych/domowych. Najlepszą rzeczą do zrobienia teraz jest zaktualizowanie każdego oprogramowania, aby upewnić się, że działa w najnowszej wersji. Obejmuje to sterowniki systemu Windows, oprogramowanie innych firm, a nawet aktualizacje systemu Windows. Co najważniejsze, nie pobieraj ani nie otwieraj żadnych podejrzanych wiadomości e-mail ani nie instaluj oprogramowania innych firm od nieznanego dostawcy.