Toți utilizatorii de Windows ar trebui să se actualizeze imediat pe măsură ce hack-ul „Control complet” este confirmat

Cu câteva săptămâni în urmă, cercetătorii de la firma de securitate cibernetică Eclypsium dezvăluit că aproape toți marii producători de hardware au o defecțiune care poate permite aplicațiilor rău intenționate să obțină privilegii de kernel la nivel de utilizator, obținând astfel acces direct la firmware și hardware.

Cercetătorii au lansat o listă de furnizori de BIOS și producători de hardware care include Toshiba, ASUS, Huawei, Intel, Nvidia și altele. Defectul afectează, de asemenea, toate versiunile noi de Windows, care includ Windows 7, 8, 8.1 și Windows 10. Deși Microsoft a lansat deja o declarație care confirmă că Windows Defender este mai mult decât capabil să rezolve problema, ei nu au menționat că utilizatorii au nevoie pentru a fi pe cea mai recentă versiune de Windows pentru a beneficia de același lucru. Pentru versiunile mai vechi de Windows, Microsoft a remarcat că va folosi capacitatea HVCI (Hypervisor-enforced Code Integrity) pentru a lista neagră driverele care le sunt raportate. Din păcate, această caracteristică este disponibilă numai pe procesoarele Intel de a 7-a generație și mai târziu; astfel încât procesoarele mai vechi sau cele mai noi în care HCVI este dezactivat necesită dezinstalarea manuală a driverelor.

Dacă nu erau suficiente vești proaste, hackerii au reușit acum să folosească defectul pentru a exploata utilizatorii. Remote Access Trojan sau RAT există de ani de zile, dar evoluțiile recente l-au făcut mai periculos ca niciodată. NanoCore RAT obișnuia să se vândă pe Dark Web pentru 25 de dolari, dar a fost spart în 2014, iar versiunea gratuită a fost pusă la dispoziție hackerilor. După aceasta, instrumentul a devenit sofisticat, deoarece i-au fost adăugate noi pluginuri. Acum, cercetătorii de la laboratoarele LMNTRX au descoperit o nouă adăugare care permite hackerilor să profite de defect, iar instrumentul este acum disponibil gratuit pe Dark Web.

În cazul în care subestimați instrumentul, acesta poate permite unui hacker să închidă de la distanță sau să repornească sistemul, să răsfoiască de la distanță fișiere, să acceseze și să controleze Managerul de activități, Editorul de registru și chiar mouse-ul. Nu numai asta, dar atacatorul poate deschide și pagini web, dezactiva lumina de activitate a camerei web pentru a spiona victima neobservată și poate captura audio și video. Deoarece atacatorul are acces deplin la computer, acesta poate recupera parolele și obține acreditările de conectare folosind un keylogger, precum și poate bloca computerul cu o criptare personalizată care poate acționa ca un ransomware.

Vestea bună este că NanoCore RAT există de ani de zile, software-ul este bine cunoscut cercetătorilor de securitate. Echipa LMNTRX (de Forbes) a împărțit tehnicile de detectare în trei categorii principale:

• T1064 – Scriptare: Deoarece scripting-ul este folosit în mod obișnuit de administratorii de sistem pentru a efectua sarcini de rutină, orice execuție anormală a programelor de scriptare legitime, cum ar fi PowerShell sau Wscript, poate semnala un comportament suspect. Verificarea fișierelor Office pentru codul macro poate ajuta, de asemenea, la identificarea scripturilor utilizate de atacatori. Procesele Office, cum ar fi winword.exe care generează instanțe de cmd.exe sau aplicații de script precum wscript.exe și powershell.exe, pot indica activitate rău intenționată.

• T1060 – Chei de rulare a registrului / Dosar de pornire: Monitorizarea Registrului pentru modificări pentru a rula cheile care nu se corelează cu programele cunoscute sau ciclurile de corecție și monitorizarea folderului de pornire pentru adăugiri sau modificări pot ajuta la detectarea malware-ului. Programele suspecte care se execută la pornire pot apărea ca procese anormale care nu au fost văzute înainte în comparație cu datele istorice. Soluții precum LMNTRIX Respond, care monitorizează aceste locații importante și generează alerte pentru orice modificare sau adăugare suspectă, pot ajuta la detectarea acestor comportamente.

• T1193 – Atașament de spearphishing: Sistemele de detectare a intruziunilor în rețea, cum ar fi LMNTRIX Detect, pot fi utilizate pentru a detecta spearphishing cu atașamente rău intenționate în tranzit. În cazul LMNTRIX Detect, camerele de detonare încorporate pot detecta atașamentele rău intenționate pe baza comportamentului, mai degrabă decât a semnăturilor. Acest lucru este esențial, deoarece detectarea bazată pe semnătură nu reușește adesea să protejeze împotriva atacatorilor care își schimbă și își actualizează frecvent sarcinile utile.

În general, aceste tehnici de detectare se aplică pentru organizații și pentru utilizatorii personali/casnici, cel mai bun lucru de făcut acum este să actualizați fiecare bucată de software pentru a vă asigura că rulează pe cea mai recentă versiune. Aceasta include drivere Windows, software-uri terță parte și chiar actualizări Windows. Cel mai important, nu descărcați sau deschideți niciun e-mail suspect și nu instalați niciun software terță parte de la un furnizor necunoscut.