Всем пользователям Windows следует немедленно обновиться, поскольку подтвержден взлом «Полного контроля».

Пару недель назад исследователи из фирмы по кибербезопасности Eclypsium показал, что почти у всех основных производителей оборудования есть уязвимость, позволяющая вредоносным приложениям получать привилегии ядра на уровне пользователя, тем самым получая прямой доступ к прошивке и оборудованию.

Исследователи опубликовали список поставщиков BIOS и производителей оборудования, в который вошли Toshiba, ASUS, Huawei, Intel, Nvidia и другие. Уязвимость также затрагивает все новые версии Windows, в том числе Windows 7, 8, 8.1 и Windows 10. Хотя Microsoft уже выпустила заявление, подтверждающее, что Защитник Windows более чем способен справиться с проблемой, они не упомянули, что пользователям нужно быть на последней версии Windows, чтобы воспользоваться тем же. Для более старых версий Windows Microsoft отметила, что будет использовать возможность HVCI (Hypervisor-enforced Code Integrity) для внесения в черный список драйверов, о которых им сообщается. К сожалению, эта функция доступна только для процессоров Intel 7-го поколения и более поздних версий; поэтому старые процессоры или более новые, где HCVI отключен, требуют удаления драйверов вручную.

Если этого было недостаточно, хакерам удалось использовать уязвимость для эксплуатации пользователей. Троян удаленного доступа или RAT существует уже много лет, но последние разработки сделали его более опасным, чем когда-либо. NanoCore RAT раньше продавался в Dark Web за 25 долларов, но был взломан еще в 2014 году, и хакерам стала доступна бесплатная версия. После этого инструмент усложнялся, к нему добавлялись новые плагины. Теперь исследователи из LMNTRX Labs обнаружили новое дополнение, позволяющее хакерам воспользоваться уязвимостью, и инструмент теперь доступен бесплатно в Даркнете.

Если вы недооценили инструмент, он может позволить хакеру удаленно выключить или перезагрузить систему, удаленно просматривать файлы, получать доступ и управлять диспетчером задач, редактором реестра и даже мышью. Мало того, злоумышленник также может открывать веб-страницы, отключать индикатор активности веб-камеры, чтобы незаметно шпионить за жертвой и записывать аудио и видео. Поскольку злоумышленник имеет полный доступ к компьютеру, он также может восстановить пароли и получить учетные данные для входа с помощью кейлоггера, а также заблокировать компьютер с помощью специального шифрования, которое может действовать как программа-вымогатель.

Хорошей новостью является то, что NanoCore RAT существует уже много лет, это программное обеспечение хорошо известно исследователям безопасности. команда LMNTRX (с помощью Forbes) разбили методы обнаружения на три основные категории:

• T1064 — Сценарии: Поскольку сценарии обычно используются системными администраторами для выполнения рутинных задач, любое аномальное выполнение законных программ сценариев, таких как PowerShell или Wscript, может сигнализировать о подозрительном поведении. Проверка файлов Office на наличие кода макросов также может помочь определить сценарии, используемые злоумышленниками. Процессы Office, такие как winword.exe, порождающий экземпляры cmd.exe, или приложения-скрипты, такие как wscript.exe и powershell.exe, могут указывать на вредоносную активность.

• T1060 — Ключи запуска реестра / папка автозагрузки: Мониторинг реестра на предмет изменений в ключах запуска, которые не связаны с известным программным обеспечением или циклами исправлений, а также мониторинг стартовой папки на предмет добавлений или изменений могут помочь в обнаружении вредоносного ПО. Подозрительные программы, запускаемые при запуске, могут проявляться как процессы-выбросы, которых раньше не было при сравнении с историческими данными. Такие решения, как LMNTRIX Respond, который отслеживает эти важные места и выдает предупреждения о любых подозрительных изменениях или добавлениях, могут помочь обнаружить такое поведение.

• T1193 — Вложение для целевого фишинга: Системы обнаружения сетевых вторжений, такие как LMNTRIX Detect, могут использоваться для обнаружения целевого фишинга с вредоносными вложениями в пути. В случае LMNTRIX Detect встроенные детонационные камеры могут обнаруживать вредоносные вложения на основе поведения, а не сигнатур. Это очень важно, поскольку обнаружение на основе сигнатур часто не защищает от злоумышленников, которые часто изменяют и обновляют свои полезные данные.

В целом, эти методы обнаружения применимы как для организаций, так и для личных/домашних пользователей. Лучшее, что можно сделать прямо сейчас, — это обновить каждую часть программного обеспечения, чтобы убедиться, что оно работает в последней версии. Сюда входят драйверы Windows, стороннее программное обеспечение и даже обновления Windows. Самое главное, не загружайте и не открывайте подозрительные электронные письма и не устанавливайте стороннее программное обеспечение от неизвестного поставщика.