| Автор |
Сообщение |
ElSwanko ®
Куратор Аниме
Модератор Музыки
Стаж: 19 лет 5 мес.
Сообщений: 22075
Ratio: 1457.546
Поблагодарили: 94969
100%
Откуда: ур-пространство преконтинуума
|
Специалисты Trellix обнаружили новую кампанию, в которой используются доверенные компоненты антивирусных программ для взлома систем. Вместо попыток обойти защиту злоумышленники применяют легальный драйвер Avast Anti-Rootkit, чтобы отключать защитное ПО и получать контроль над компьютером.
Механизм атаки выглядит так: вредоносная программа сначала загружает драйвер Avast в систему под видом обычного файла. Затем через специальную команду регистрирует его как сервис, дающий доступ к ядру операционной системы. Это позволяет программе завершать процессы антивирусов и других систем защиты, обходя их стандартные механизмы безопасности. Вредоносное ПО, названное AV Killer, загружает доверенный драйвер и анализирует активные процессы на устройстве, сверяя их с жёстко заданным списком из 142 целей, куда входят антивирусные решения компаний McAfee, Symantec, Sophos, Microsoft Defender, SentinelOne и других. Если процесс совпадает с одним из целевого списка, вредоносное ПО использует API DeviceIoControl для передачи команд драйверу и завершения процесса. Уровень доступа драйвера позволяет вредоносной программе завершать процессы на уровне ядра ОС. После отключения защиты вредоносное ПО получает полный контроль над системой, что позволяет хакерам похищать данные, устанавливать вредоносные программы или достигать другие свои цели. Эксперты объясняют, что BYOVD-атаки (Bring Your Own Vulnerable Driver) становятся все более популярными. В таких атаках используются уязвимости легальных драйверов, чтобы проникать в системы. Например, похожую атаку проводили хакеры Lazarus, когда использовали уязвимость в драйвере Windows AppLocker для получения доступа на уровне ядра и отключения средств безопасности, избежав обнаружения. Для защиты от подобных угроз Trellix рекомендует специальные правила, которые помогают блокировать использование уязвимых драйверов. Правила основаны на уникальных характеристиках драйверов и предотвращают их запуск даже при наличии уязвимостей. Внедрение таких правил в антивирусные и EDR-системы помогает заранее выявить угрозу и остановить атаку. Эксперты призывают компании обновлять защитное ПО и добавлять новые механизмы для борьбы с продвинутыми угрозами, чтобы минимизировать риски подобных атак. Несмотря на рекомендации использования EDR-систем, интересно отметить, что в августе группировка RansomHub начала использовать новый вредоносный софт, который отключает EDR-решения на устройствах для обхода механизмов безопасности и получения полного контроля над системой. © SecurityLab |
|
|
 |
barmen
Только чтение
Стаж: 14 лет 9 мес.
Сообщений: 1610
Ratio: 18.084
0%
|
ElSwanko писал(а):  | Механизм атаки выглядит так: вредоносная программа сначала загружает драйвер Avast в систему под видом обычного файла. Затем через специальную команду регистрирует его как сервис, дающий доступ к ядру операционной системы. Это позволяет программе завершать процессы антивирусов и других систем защиты, обходя их стандартные механизмы безопасности. |
Насколько я помню при установке программ с драйверами выскакивает окно предупреждения, что будет установлен драйвер производитель которого подтвержден или не подтвержден. Срабатывает окно UAC итп. Тихая установка драйвера возможна разве что на Win7 и то не факт. |
|
|
|
|
DIMA882
Стаж: 14 лет 10 мес.
Сообщений: 176
Ratio: 7.513
0.2%
|
никогда не сомневался в этом "антивирусе"  . считаю что это муляж а не антивирус. не знаю может это просто у меня так получалось, но самых дремучих времен где бы я с ним не сталкивался везде какие-то проблемы связанные с его присутствием. |
|
|
|
|
Ubuntu_222
Стаж: 3 года
Сообщений: 102
Ratio: 0.015
100%
|
любой бесплатный антивирус это скам |
|
|
|
|
xray26
Стаж: 15 лет 2 мес.
Сообщений: 1257
Ratio: 7.929
Поблагодарили: 7
100%
Откуда: Ставрополь
|
аваст это вообще антивирусом сложно называть ))) кто использует его тот просто создает видимость антивируса |
|
|
|
|
FromChaose
Стаж: 9 лет 3 мес.
Сообщений: 215
Ratio: 95.323
Поблагодарили: 2060
100%
Откуда: Moscow, Russia
|
| Комиссар Жюв писал(а): | | abozoff писал(а): |
не вижу смайлика "sarcasm" ) с 10 винды начиная, встроенный защитник перекрывал аваст как бык овцу. такшта да, лучше убрать.
|
верят в дефендер до первого шифратора |
А шифратор - не вирус. Это легитимный скрипт, использующий легитимные, штатные средства, для легитмного действия - шифрования ваших файлов. В том его "стремительность и была". Помню стандартный сценарий у пользователей в 2013-2014гг. "Галя, у меня файл в письме не открывается, посмотришь?" - и как итог зашифрованные файлы на локальных пк, на файлообменнике и т.д. и т.п. .... Не было там злобного бинарника и обхода антивиря. P.s. и да, антивирь помогает - но мозги отключать не стоит. Он может помочь обратить внимание на "сайт в списке подозрительных, файл распознан как троянец, файл меняет содержимое таких-то системных файлов". Или блокирнуть те бинарники, сигнатуры которых уже есть в его базах. Плюс эвристика. Но если пользователь - в своей ОС ни "бум-бум" не обязан ничего понимать - то антивирус ему не нужен, только мешать будет. P.p.s. Лет -7-10 назад, использовал бесплатные разные антивирусы в течении года - Avast, Avira, Comodo, Panda(или TrendMicro непомню уже), Qiho и ещё какой-то нонэйм, и пробники Norton (Symantec), McAffee, Dr.Web, Kaspersky. Avast сломал мне ОС при попытке удалить его, но рапорты писал регулярно, Avira пропускала много. Comodo и Panda тормозили систему, особенно при сканировании. Пробники платных показали себя лучше, единственное McAffee - лучше ловит кряки и кейгены, чем трояны, Symantec удобно (на тот момент) было ставить в корпоративной среде (центральная консоль управления). А для дома Dr.Web и Кaspersky подошли лучше. Но! Клиенты с Dr.Web всё равно ломали себе ОС, т.к. если ставили комплекс - то зачастую блокировали системные процессы и процессы нужного им пиратского софта. Так что если хотите меньше жалоб от пользователей - оставляйте им Дефендер. А себе можно Касперыча или Доктора, ну или для ценителий "буржуйского" - Northon'a, имхо одианково эффективны полноценные платные версии %). И да - без антивиря, ваше железо работает шустрее - например при копировании данных с диска на диск ))) Ни к чему не призываю, кроме как к изучению своих инструментов и включению мозгов. Никто не будет бесплатно делать тебе хорошо то, что ты можешь сделать себе сам. ИМХО! Да и платно - с большими оговорками, а лучше по подписке. Up: Eset NOD32 не тестировал, т.к. к нему сложилось негативное предубеждение ещё в 2008-2010гг (пропустил много дряни в организацию, лицензионный.. Но очень шустрый на тот момент). Но некоторым нравится, говорят - защищает. Может что и поменялось к 2024г )) А вообще - юзайте Linux, и если очень надо - ClamAV ))) ну это так, доброе пожелание ))) |
|
|
|
|
messer20080
Стаж: 15 лет 10 мес.
Сообщений: 5380
Ratio: 32.98
Раздал: 86.49 TB
Поблагодарили: 185409
100%
Откуда: Советский Измаил
|
Самый главный вирус сидит перед монитором и клацает по кнопкам. |
_________________
|
|
|
|
FromChaose
Стаж: 9 лет 3 мес.
Сообщений: 215
Ratio: 95.323
Поблагодарили: 2060
100%
Откуда: Moscow, Russia
|
| messer20080 писал(а): | Самый главный вирус сидит перед монитором и клацает по кнопкам. |
 100% |
_________________  |
|
|
|
golliaf82
Стаж: 13 лет 1 мес.
Сообщений: 457
Ratio: 2.981
0%
|
Это было, есть и будет... По этому лучше использовать минимум функций, тогда и меньше проблем будет. А то современный антивирус превратился в комплекс программ для обслуживания системы.. |
|
|
|
|
andreypplk
Стаж: 16 лет 3 мес.
Сообщений: 53
Ratio: 10.002
11.11%
Откуда: попасная
|
Никогда не доверял Авасту любой продукт если у когото стоял всегда сносил так как тормоза мигом пропадали даже на самых слабых системах |
|
|
|
|
maldoror666
Стаж: 15 лет 8 мес.
Сообщений: 5537
Ratio: 18.985
100%
|
"- Есть у нас грузин, по фамилии Горидзе. А зовут его ...Аваст" (с) Карцев-Ильченко
... вспомнилось вдруг. |
|
|
|
|
Nevermore
Стаж: 19 лет
Сообщений: 1143
Ratio: 18.528
Поблагодарили: 94
0.71%
Откуда: UA
|
| DIMA882 писал(а): | никогда не сомневался в этом "антивирусе" . считаю что это муляж а не антивирус. не знаю может это просто у меня так получалось, но самых дремучих времен где бы я с ним не сталкивался везде какие-то проблемы связанные с его присутствием. |
вы его путаете с 360 Добавлено спустя 41 секунду: | andreypplk писал(а): | Никогда не доверял Авасту любой продукт если у когото стоял всегда сносил так как тормоза мигом пропадали даже на самых слабых системах |
Аваст - самый нетребовательный к ресурсам антивирус |
_________________
|
|
|
|
suarog3
Стаж: 12 лет 10 мес.
Сообщений: 44
Ratio: 65.721
100%
Откуда: Рязань
|
Я вообще отказался от всех антивирусников и всё прекрасно работает , а если всё же слетит система , нет проблем её переустановить и дальше наслаждаться жизнью . Любое ПО несёт в себе какие нибудь закладки ...... . |
|
|
|
|
sergunka79
Стаж: 15 лет
Сообщений: 627
Ratio: 36.744
37.36%
|
| barmen писал(а): |
Срабатывает окно UAC итп.
Тихая установка драйвера возможна разве что на Win7 и то не факт.
|
если его специально не отключить. у меня вот отключено ручками - для установки не помню какого драйвера, который отказывался работать после установки. да, проверку подписи отключить сложно. |
|
|
|
|
DIMA882
Стаж: 14 лет 10 мес.
Сообщений: 176
Ratio: 7.513
0.2%
|
| Nevermore писал(а): |
вы его путаете с 360
|
ничего я не путаю)) 360 знаю но сталкивался оч редко, я так понимаю он еще "лудше" аваста? буду иметь ввиду) |
|
|
|
|
f4520
Только чтение
Стаж: 15 лет 7 мес.
Сообщений: 297
Ratio: 6.324
17.89%
|
Пора переходить на антибиотики  |
_________________
Lasciate ogni speranza, voi ch’entrate 👻
|
|
|
|
|
|
