Kaspersky Lab automatizētās tehnoloģijas ir uzgājušas iepriekš nezināmu Microsoft Windows ievainojamību. To izmantoja nepazīstama noziedzīga grupa, lai mēģinātu iegūt pilnīgu varu pār uzbrukumam pakļauto ierīci. Uzbrukums bija vērsts pret sistēmas kodolu caur lūku, kas veidota no būtiska operētājsistēmas Windows elementa.
Lūkas ir ļoti bīstams ļaunprogrammatūru veids, jo tās ļauj apdraudējumu izpildītājiem ļaunprātīgā nolūkā diskrēti kontrolēt inficētos datorus. Šādu trešas personas privilēģiju paplašināšanu parasti ir grūti noslēpt no drošības risinājumiem, tomēr lūkai, kas izmanto iepriekš nezināmu kļūdu sistēmā, proti, nulles dienas ievainojamību, ir daudz lielākas izredzes palikt nepamanītai. Parastie drošības risinājumi nespēj ne pazīt sistēmas infekciju, ne aizsargāt lietotājus no vēl nepazīstamiem apdraudējumiem.
Taču Kaspersky Lab mūķu profilakses tehnoloģija spēja konstatēt mēģinājumu izmantot Microsoft operētājsistēmas Windows nezināmo ievainojamību. Atrastais uzbrukuma plāns bija šāds: kad ir palaista ļaunprātīgā .exe datne, tika sākta ļaunprogrammatūras instalēšana. Infekcija izmantoja nulles dienas ievainojamību un ieguva privilēģijas, lai sekmīgi saglabātos upura datorā.
Pēc tam ļaunprogrammatūra uzsāka lūkas palaišanu, kura bija izstrādāta ar īstu Windows elementu, kas atrodas visos datoros, kurus pārvalda šī operētājsistēma, — ar skriptēšanas satvaru, ko sauc Windows PowerShell. Tas ļāva apdraudējuma izpildītājiem būt nemanāmiem un izvairīties no atklāšanas, vienlaikus ietaupot viņiem laiku, kas nepieciešams ļaunprātīgu rīku programmēšanai. Tad ļaunprogrammatūra no populāra likumīga teksta uzglabāšanas pakalpojuma lejupielādēja vēl vienu lūku, kas savukārt deva noziedzniekiem pilnīgu varu pār inficēto sistēmu.
«Šajā uzbrukumā mēs novērojām divas galvenās tendences, ko bieži redzam sarežģītos mērķuzbrukumos (APT). Pirmkārt, vietējo privilēģiju paplašināšanas mūķu izmantošana, lai sekmīgi saglabātos upura datorā. Otrkārt, likumīgu satvaru, piemēram, Windows PowerShell, izmantošana ļaunprātīgām darbībām upura datorā. Šī kombinācija dod iespēju apdraudējumu izpildītājiem apiet standarta drošības risinājumus. Lai pamanītu šādus paņēmienus, drošības risinājumam ir jāizmanto mūķu profilakses un uzvedības noteikšanas programmas,» paskaidro Kaspersky Lab drošības eksperts Antons Ivanovs.
Kaspersky Lab izstrādājumi konstatēja mūķi ar šādiem nosaukumiem:
- HEUR:Exploit.Win32.Generic;
- HEUR:Trojan.Win32.Generic;
- PDM:Exploit.Win32.Generic.
Par ievainojamību tika ziņots Microsoft, un tā ir aizlāpīta 10. aprīlī. Lai nepieļautu lūku instalēšanu, izmantojot Windows nulles dienas ievainojamību, Kaspersky Lab iesaka veikt šādus drošības pasākumus.
- Kad ievainojamība ir aizlāpīta un ielāps ir lejupielādēts, apdraudējumu izpildītāji zaudē iespēju to izmantot. Nekavējoties instalējiet jaunajai ievainojamībai paredzēto Microsoft ielāpu.
- Ja esat saistīts ar visas organizācijas drošību, nodrošiniet, lai visa programmatūra tiktu atjaunināta, tiklīdz ir izlaists jauns drošības ielāps. Izmantojiet drošības izstrādājumus ar ievainojamību novērtēšanas un ielāpu pārvaldības funkcijām, lai nodrošinātu, ka šie procesi norit automātiski.
- Aizsardzībai pret nezināmiem apdraudējumiem izmantojiet pārbaudītu drošības risinājumu ar uz uzvedību balstītām noteikšanas funkcijām, piemēram, Kaspersky Endpoint Security.
- Nodrošiniet, lai drošības darbiniekiem ir piekļuve jaunākajiem kiberdraudu izlūkdatiem. Kaspersky Intelligence Reporting klienti var saņemt personiskus pārskatus par jaunākajiem notikumiem apdraudējumu vidē. Lai iegūtu sīkāku informāciju, sazinieties ar [email protected].
- Pēdējais, bet ne mazāk svarīgais: nodrošiniet, lai darbinieki ir apguvuši kiberdrošības higiēnas pamatus.
Lai uzzinātu vairāk par jauno mūķi, skatiet visu pārskatu vietnē Securelist.
Lai tuvāk iepazītos ar tehnoloģijām, kas konstatēja šo un citas Microsoft Windows nulles dienas ievainojamības, pēc pieprasījuma var noskatīties Kaspersky Lab tīmekļsemināra ierakstu.
One Response
Pis dirsā tos mūķus, lūkas, ļaunatūru un tīmekļseminārus! Skriptēšanas satvars vien ir ko vērts! Iznireli pēkšņlodziņu nepārspēs, bet ir tuvu tam!