Усім користувачам Windows слід негайно оновити систему після підтвердження злому «Повний контроль».

Пару тижнів тому дослідники з фірми з кібербезпеки Eclypsium виявлено що майже всі основні виробники обладнання мають недолік, який може дозволити шкідливим програмам отримати привілеї ядра на рівні користувача, отримуючи тим самим прямий доступ до мікропрограмного та апаратного забезпечення.

Дослідники оприлюднили список постачальників BIOS та виробників обладнання, до якого входять Toshiba, ASUS, Huawei, Intel, Nvidia тощо. Недолік також стосується всіх нових версій Windows, які включають Windows 7, 8, 8.1 і Windows 10. Хоча Microsoft вже опублікувала заяву, що підтверджує, що Windows Defender більш ніж здатний вирішити цю проблему, вони не згадали, що користувачам потрібно використовувати останню версію Windows, щоб скористатися нею. Для старіших версій Windows Microsoft зазначила, що використовуватиме функцію HVCI (гіпервізорна цілісність коду) для створення чорного списку драйверів, про які їм повідомляється. На жаль, ця функція доступна лише в процесорах Intel 7-го покоління та пізніших; тому старіші процесори або новіші, де HCVI вимкнено, вимагають видалення драйверів вручну.

Якщо цього було недостатньо поганими новинами, хакерам тепер вдалося використати недолік, щоб використовувати користувачів. Троян віддаленого доступу або RAT існує вже багато років, але останні події зробили його ще небезпечнішим, ніж будь-коли. Раніше NanoCore RAT продавався в Dark Web за 25 доларів, але був зламаний ще в 2014 році, і безкоштовна версія стала доступною для хакерів. Після цього інструмент став складнішим, оскільки до нього були додані нові плагіни. Тепер дослідники з LMNTRX Labs виявили нове доповнення, яке дозволяє хакерам скористатися недоліком, і інструмент тепер доступний безкоштовно в Dark Web.

Якщо ви недооцінювали інструмент, він може дозволити хакеру віддалено вимкнути або перезавантажити систему, віддалено переглядати файли, отримувати доступ та керувати диспетчером завдань, редактором реєстру і навіть мишею. Мало того, зловмисник також може відкривати веб-сторінки, вимкнути індикатор активності веб-камери, щоб непомітно шпигувати за жертвою та записувати аудіо та відео. Оскільки зловмисник має повний доступ до комп’ютера, він також може відновити паролі та отримати облікові дані для входу за допомогою кейлоггера, а також заблокувати комп’ютер за допомогою спеціального шифрування, яке може діяти як програма-викуп.

Хороша новина полягає в тому, що NanoCore RAT існує вже багато років, програмне забезпечення добре відоме дослідникам безпеки. Команда LMNTRX (через Forbes) розбив методи виявлення на три основні категорії:

• T1064 – Написання сценаріїв: Оскільки скрипти зазвичай використовуються системними адміністраторами для виконання рутинних завдань, будь-яке аномальне виконання законних програм сценаріїв, таких як PowerShell або Wscript, може сигналізувати про підозрілу поведінку. Перевірка офісних файлів на наявність макрокоду також може допомогти визначити сценарії, які використовуються зловмисниками. Процеси Office, такі як winword.exe, що породжують екземпляри cmd.exe, або програми сценаріїв, як-от wscript.exe і powershell.exe, можуть свідчити про зловмисну ​​активність.

• T1060 – ключі запуску реєстру / папка запуску: Відстеження змін у реєстрі для запуску ключів, які не співвідносяться з відомим програмним забезпеченням або циклами виправлення, а також моніторинг папки запуску на наявність доповнень або змін, може допомогти виявити зловмисне програмне забезпечення. Підозрілі програми, що виконуються під час запуску, можуть відображатися як процеси, які не помічалися раніше, якщо порівнювати їх з історичними даними. Такі рішення, як LMNTRIX Respond, які відстежують ці важливі місця та сповіщають про будь-які підозрілі зміни чи доповнення, можуть допомогти виявити таку поведінку.

• T1193 – вкладення для підводного фішингу: Системи виявлення вторгнень в мережу, такі як LMNTRIX Detect, можна використовувати для виявлення підривного фішингу зі шкідливими вкладеннями в дорозі. У випадку з LMNTRIX Detect вбудовані детонаційні камери можуть виявляти шкідливі вкладення на основі поведінки, а не сигнатур. Це важливо, оскільки виявлення на основі сигнатур часто не вдається захистити від зловмисників, які часто змінюють та оновлюють свої корисні навантаження.

Загалом, ці методи виявлення застосовуються як для організацій, так і для особистих/домашніх користувачів, найкраще, що можна зробити зараз, — це оновити кожен елемент програмного забезпечення, щоб переконатися, що воно працює на останню версію. Це включає драйвери Windows, програмне забезпечення сторонніх розробників і навіть оновлення Windows. Найголовніше, не завантажуйте та не відкривайте підозрілі електронні листи та не встановлюйте стороннє програмне забезпечення від невідомого постачальника.