Vsi uporabniki operacijskega sistema Windows bi morali nemudoma posodobiti, ko je vdor 'Complete Control' potrjen

Nekaj ​​tednov nazaj so raziskovalci iz podjetja za kibernetsko varnost Eclypsium je pokazala, da imajo skoraj vsi večji proizvajalci strojne opreme napako, ki lahko zlonamernim aplikacijam omogoči, da pridobijo privilegije jedra na ravni uporabnika, s čimer pridobijo neposreden dostop do strojne in strojne opreme.

Raziskovalci so objavili seznam proizvajalcev BIOS-a in proizvajalcev strojne opreme, ki vključuje Toshiba, ASUS, Huawei, Intel, Nvidia in še več. Pomanjkljivost vpliva tudi na vse nove različice operacijskega sistema Windows, ki vključuje Windows 7, 8, 8.1 in Windows 10. Čeprav je Microsoft že izdal izjavo, ki potrjuje, da je Windows Defender več kot sposoben rešiti to težavo, niso omenili, da uporabniki potrebujejo da uporabljate najnovejšo različico sistema Windows, da izkoristite isto. Za starejše različice operacijskega sistema Windows je Microsoft opozoril, da bo uporabljal zmožnost HVCI (Hypervisor-enforced Code Integrity) za črno uvrstitev gonilnikov, ki so jim prijavljeni. Žal je ta funkcija na voljo samo pri procesorjih Intel 7. generacije in novejših; tako starejši procesorji ali novejši, kjer je HCVI onemogočen, zahtevajo ročno odstranitev gonilnikov.

Če to ni bila dovolj slaba novica, je hekerjem zdaj uspelo uporabiti napako za izkoriščanje uporabnikov. Trojanec za oddaljeni dostop ali RAT je prisoten že leta, vendar je zaradi nedavnega razvoja postal nevarnejši kot kdaj koli prej. NanoCore RAT se je na Dark Webu prodajal za 25 dolarjev, vendar je bil leta 2014 razbit in brezplačna različica je bila na voljo hekerjem. Po tem je orodje postalo izpopolnjeno, saj so mu bili dodani novi vtičniki. Zdaj so raziskovalci iz laboratorija LMNTRX odkrili nov dodatek, ki hekerjem omogoča, da izkoristijo pomanjkljivost, orodje pa je zdaj brezplačno na voljo na temnem spletu.

V primeru, da ste podcenili orodje, lahko hekerju omogoči oddaljeno zaustavitev ali ponovni zagon sistema, oddaljeno brskanje po datotekah, dostop do upravitelja opravil, urejevalnika registra in celo miške ter nadzor nad njim. Ne samo to, napadalec lahko odpre tudi spletne strani, onemogoči luč aktivnosti spletne kamere, da neopazno vohuni za žrtev in zajame zvok in video. Ker ima napadalec popoln dostop do računalnika, lahko tudi obnovi gesla in pridobi poverilnice za prijavo s pomočjo keyloggerja ter zaklene računalnik s šifriranjem po meri, ki lahko deluje kot izsiljevalska programska oprema.

Dobra novica je, da NanoCore RAT obstaja že leta, programska oprema je dobro znana raziskovalcem varnosti. Ekipa LMNTRX (preko Forbes) razdeli tehnike odkrivanja v tri glavne kategorije:

• T1064 – Skriptiranje: Ker sistemski skrbniki običajno uporabljajo skripte za izvajanje rutinskih nalog, lahko kakršna koli nenormalna izvedba zakonitih skriptnih programov, kot sta PowerShell ali Wscript, signalizira sumljivo vedenje. Preverjanje pisarniških datotek za makro kodo lahko pomaga tudi pri prepoznavanju skriptov, ki jih uporabljajo napadalci. Officeovi procesi, kot je winword.exe, ki povzročajo primerke cmd.exe, ali skriptne aplikacije, kot sta wscript.exe in powershell.exe, lahko kažejo na zlonamerno dejavnost.

• T1060 – ključi za zagon registra / zagonska mapa: Spremljanje sprememb v registru za zagon ključev, ki niso v korelaciji z znano programsko opremo ali cikli popravkov, in spremljanje začetne mape glede dodatkov ali sprememb lahko pomaga odkriti zlonamerno programsko opremo. Sumljivi programi, ki se izvajajo ob zagonu, se lahko prikažejo kot izstopajoči procesi, ki jih v primerjavi s preteklimi podatki še nismo videli. Rešitve, kot je LMNTRIX Respond, ki spremlja te pomembne lokacije in sproža opozorila za kakršne koli sumljive spremembe ali dodatke, lahko pomagajo odkriti ta vedenja.

• T1193 – Nastavek za lažno predstavljanje: Sistemi za zaznavanje vdorov v omrežje, kot je LMNTRIX Detect, se lahko uporabljajo za odkrivanje lažnega predstavljanja z zlonamernimi prilogami med prenosom. V primeru LMNTRIX Detect lahko vgrajene detonacijske komore zaznajo zlonamerne priloge na podlagi vedenja in ne podpisov. To je ključnega pomena, saj zaznavanje na podlagi podpisov pogosto ne ščiti pred napadalci, ki pogosto spreminjajo in posodabljajo svoje koristne podatke.

Na splošno te tehnike odkrivanja veljajo za organizacije in za osebne/domače uporabnike, najboljša stvar, ki jo lahko storite zdaj, je posodobiti vsak kos programske opreme in se prepričati, da deluje v najnovejši različici. To vključuje gonilnike za Windows, programsko opremo tretjih oseb in celo posodobitve sistema Windows. Najpomembneje je, da ne prenašajte ali odpirajte nobene sumljive e-pošte in ne nameščajte programske opreme tretjih oseb neznanega prodajalca.