Alla Windows-användare bör uppdatera omedelbart när "Complete Control"-hacket bekräftas

För ett par veckor sedan, forskare från cybersäkerhetsföretaget Eclypsium avslöjade att nästan alla de stora hårdvarutillverkarna har ett fel som kan tillåta skadliga applikationer att få kärnprivilegier på användarnivå och därigenom få direkt tillgång till firmware och hårdvara.

Forskarna släppte en lista över BIOS-leverantörer och hårdvarutillverkare som inkluderade Toshiba, ASUS, Huawei, Intel, Nvidia med flera. Felet påverkar också alla nya versioner av Windows som inkluderar Windows 7, 8, 8.1 och Windows 10. Även om Microsoft redan har släppt ett uttalande som bekräftar att Windows Defender är mer än kapabelt att hantera problemet, nämnde de inte att användarna behöver att ha den senaste versionen av Windows för att dra nytta av detsamma. För äldre versioner av Windows noterade Microsoft att de kommer att använda HVCI-funktionen (Hypervisor-enforced Code Integrity) för att svartlista drivrutiner som rapporteras till dem. Tyvärr är den här funktionen endast tillgänglig på 7:e generationens och senare Intel-processorer; så äldre processorer, eller nyare där HCVI är inaktiverat, kräver att drivrutinerna avinstalleras manuellt.

Om detta inte var tillräckligt med dåliga nyheter, har hackare nu lyckats använda felet för att utnyttja användarna. Remote Access Trojan eller RAT har funnits i flera år men den senaste utvecklingen har gjort det farligare än någonsin. NanoCore RAT brukade sälja på Dark Web för $25 men knäcktes redan 2014 och gratisversionen gjordes tillgänglig för hackarna. Efter detta blev verktyget sofistikerat eftersom nya plugins lades till. Nu har forskare från LMNTRX Labs upptäckt ett nytt tillägg som gör att hackare kan dra fördel av felet och verktyget är nu tillgängligt gratis på Dark Web.

Om du underskattade verktyget kan det tillåta en hackare att fjärravstänga eller starta om systemet, bläddra i filer på distans, komma åt och kontrollera Aktivitetshanteraren, Registerredigeraren och till och med musen. Inte bara det, utan angriparen kan också öppna webbsidor, inaktivera webbkamerans aktivitetslampa för att spionera på offret obemärkt och fånga ljud och video. Eftersom angriparen har full tillgång till datorn kan de även återställa lösenord och få inloggningsuppgifter med hjälp av en keylogger samt låsa datorn med anpassad kryptering som kan fungera som ransomware.

Den goda nyheten är att NanoCore RAT har funnits i flera år, programvaran är välkänd för säkerhetsforskarna. LMNTRX team (via forbes) delade upp detekteringstekniker i tre huvudkategorier:

• T1064 – Skript: Eftersom skript ofta används av systemadministratörer för att utföra rutinuppgifter, kan all onormal körning av legitima skriptprogram, som PowerShell eller Wscript, signalera misstänkt beteende. Att kontrollera office-filer för makrokod kan också hjälpa till att identifiera skript som används av angripare. Kontorsprocesser, till exempel winword.exe-startinstanser av cmd.exe, eller skriptprogram som wscript.exe och powershell.exe, kan indikera skadlig aktivitet.

• T1060 – Registry Run Keys / Startup Mapp: Att övervaka registret för ändringar för att köra nycklar som inte korrelerar med känd programvara eller patchcykler, och övervaka startmappen för tillägg eller ändringar, kan hjälpa till att upptäcka skadlig programvara. Misstänkta program som körs vid uppstart kan dyka upp som extrema processer som inte har setts tidigare jämfört med historiska data. Lösningar som LMNTRIX Respond, som övervakar dessa viktiga platser och larmar om misstänkta ändringar eller tillägg, kan hjälpa till att upptäcka dessa beteenden.

• T1193 – Spearphishing-tillbehör: Network Intrusion Detection-system, som LMNTRIX Detect, kan användas för att upptäcka spearphishing med skadliga bilagor under överföring. I LMNTRIX Detects fall kan inbyggda detonationskammare upptäcka skadliga bilagor baserat på beteende snarare än signaturer. Detta är avgörande eftersom signaturbaserad upptäckt ofta misslyckas med att skydda mot angripare som ofta ändrar och uppdaterar sina nyttolaster.

Sammantaget gäller dessa upptäcktstekniker för organisationer och för personliga/hemanvändare, det bästa man kan göra just nu är att uppdatera varje mjukvara för att se till att den körs på den senaste versionen. Detta inkluderar Windows-drivrutiner, programvara från tredje part och till och med Windows-uppdateringar. Viktigast av allt, ladda inte ner eller öppna några misstänkta e-postmeddelanden eller installera programvara från tredje part från en okänd leverantör.