| Автор |
Сообщение |
Maximus ®
Вольный стрелок
Uploader 100+
Стаж: 18 лет 3 мес.
Сообщений: 5547
Ratio: 25.234
Поблагодарили: 13345
100%
|
Исследователи обнаружили 133 подписанных драйверов Windows, содержащих вредоносное ПО. Microsoft заблокировала эти вредоносные драйверы и добавила их в черный список Windows Driver.STL
В документе поддержки обновлений безопасности для Windows и других продуктов Microsoft от 11 июля 2023 года, содержатся рекомендации по поводу злонамеренного использования подписанных драйверов Microsoft.
В феврале 2023 года исследователи безопасности из Sophos, Trend Micro и Cisco сообщили Microsoft о вредоносном ПО в подписанных драйверах. Исследователи обнаружили, что «драйверы, сертифицированные программой разработчиков аппаратного обеспечения Windows, использовались в злонамеренных действия после успешной эксплуатации».
Исследователи идентифицировали 133 различных драйвера, большинство из которых были сертифицированы различными аккаунтами разработчиков, и сообщили свои результаты Microsoft. Некоторые подписанные драйверы были выпущены до апреля 2021 года.
Теперь Microsoft блокирует вредоносные драйверы и закрывает соответствующие учетные записи разработчиков. Драйверы добавлены в черный список Windows Driver.STL, что предотвращает их загрузку на устройствах Windows. Этот список отзыва драйверов поставляется с Windows и регулярно обновляется через Центр обновления Windows. Согласно Microsoft, этот список не является частью Windows и не может быть отключен, удален или изменен.
Администраторам Windows следует убедиться, что в подконтрольных системах установлены последние обновления Windows, а также что сторонние антивирусы обновлены. Администраторы должны выполнить автономные проверки на своих устройствах, чтобы обнаружить вредоносные драйверы, установленные до 2 марта 2023 года. Компания Sophos опубликовала хэши вредоносных драйверов в репозитории GitHub.
Другие сервисы Microsoft, включая Microsoft 365, Azure или Xbox, не подвержены данной проблеме.
В Windows 10, версия 1607, Microsoft представила политику которая требовала наличие действительной цифровой подписи для драйверов ядра. Системы Windows с включенной функцией «Безопасная загрузка» (Secure Boot) отказываются загружать неподписанные драйверы.
Sophos отмечает, что несколько цифровых сертификатов, судя по названию компаний, связаны с Китаем.
Эксперты Sophos обнаружили два основных типа драйверов. Некоторые относятся к категории «убийца антивирусных программ» (Endpoint protection killer), и они схожи с вредоносными подписанными драйверами, обнаруженными в 2022 году. Другие обладают возможностями руткита и предназначены для бесшумного запуска в фоновом режиме.
Установка этих драйверов возможна только с повышенными правами администратора. Драйверы-руткиты обладают возможностью мониторинга сети с использованием платформы фильтрации Windows. Это позволяет злоумышленнику отслеживать входящий и исходящий сетевой трафик.
Sophos отмечает, что, как минимум, некоторые руткиты принадлежат известным семействам руткитов Windows. Многие из них включают функциональность командного сервера, что предоставляет злоумышленнику еще больше возможностей для управления зараженными устройствами.
Все обнаруженные вредоносные драйверы были аннулированы и отозваны Microsoft с 11 июля 2023 года. Модуль защиты Microsoft Defender версии 1.391.3822.0 и новее успешно обнаруживает вредоносные драйверы.
Источник |
|
|
 |
balarava
Стаж: 10 лет
Сообщений: 697
Ratio: 3.452
100%
|
| Цитата: | Некоторые подписанные драйверы были выпущены до апреля 2021 года. |
отличная формулировка - до апреля 2021 года - то есть это может быть и 2020, 2010, 2000 ? | Цитата: | Sophos отмечает, что несколько цифровых сертификатов, судя по названию компаний, связаны с Китаем. |
несколько, судя по названию, связаны с Китаем - это как ? уже даже не по владельцу определяют а просто по названию ? 中国企業 ? а что с остальными ? с кем они связаны ? предполагаю что если там в названии есть английские слова то они связаны с Лондоном. |
|
|
|
|
Zanayal
Стаж: 3 года 11 мес.
Сообщений: 23
Ratio: 168.049
0%
|
Читаю текст: | Цитата: | Модуль защиты Microsoft Defender версии 1.391.3822.0 и новее успешно обнаруживает вредоносные драйверы. |
Не выглядит ли данная информация как реклама Microsoft Defender? Мое мнение, выглядит, тем более, что в оригинале - ссылка на него даже выделена | Цитата: | Модуль защиты Microsoft Defender |
(синим цветом). Жалобы, RO на правду будут?  |
|
|
|
|
Dimon1109
Стаж: 15 лет
Сообщений: 53
Ratio: 0.575
3.66%
|
Разрабы WannaCry (WCRY) использавали backdor в оригинальном (!) сетевом драйвере от мелкого. Когда это было в 2017?
"Не выглядит ли данная информация как реклама Microsoft" ? |
|
|
|
|
DjCyrex
Стаж: 13 лет 5 мес.
Сообщений: 369
Ratio: 16.267
Поблагодарили: 2
100%
Откуда: Екатеринбург
|
Энта проблема уже стара, как 10 лет и более. |
|
|
|
|
AAS_asha
Стаж: 8 лет 3 мес.
Сообщений: 599
Ratio: 0.81
100%
Откуда: Оттуда
|
| Цитата: | Более 100 подписанных драйверов для Windows содержат вредоносное ПО |
Очередное дополнение вредоносного ПО в копилку лицинзировнного сборника таких ПО - Windows. |
_________________
"Это вам не это". ©
|
|
|
|
HackBlack
Стаж: 8 лет 3 мес.
Сообщений: 140
Ratio: 1.379
100%
|
Юзаю пиратские сборки Windows ещё с 2003 года. С Windows XP Professional Service Pack 1. Как хорошо, что есть урезанные сборки от Zosma, Den и т.д.
Вирусов - нет 100%, Касперский тоже юзаю с 2007г. Всё ОК! |
|
|
|
|
towila
Стаж: 9 лет 9 мес.
Сообщений: 49
11.9%
|
Кто-то денег не занес мелко мягким.
Срочно их наказать )))) |
|
|
|
|
про100й2000
Стаж: 8 лет 3 мес.
Сообщений: 96
Ratio: 10.706
100%
|
из прочитанного понял что виндовс сплошной вирус. |
_________________
Эксперт я!
|
|
|
|
zz13
Стаж: 12 лет 11 мес.
Сообщений: 2531
Ratio: 3.791
30.48%
|
главное в статье то, что все они используют встроенные в винду средства слежения и незаконного доступа ) они даже ничего не взламывают, а лишь используют уже существующие средства винды для той же цели, что и сама мелкософт встроившая их туда )
а уж про неудаляемый и нередактируемый список совсем весело, мелкософт с его помощью может делать что угодно с софтом конкурентов и никто ничего не сможет сделать, достаточно добавить туда неугодный им софт и всё, никто даже не поймёт почему он не работает, ведь всё это обновляется без ведома пользователя. |
|
|
|
|
kRONiCXXII
Стаж: 12 лет 7 мес.
Сообщений: 1184
Ratio: 3.278
100%
Откуда: Россия
|
А как так? Обнаружили сразу больше сотни? Почему так много за раз! Значит все проактивные системы антивирусов - это коммерческий фуфел?!  |
|
|
|
|
andy040670
Стаж: 14 лет 8 мес.
Сообщений: 271
Ratio: 932.705
Раздал: 120.2 TB
100%
|
kRONiCXXII писал(а):  | А как так? Обнаружили сразу больше сотни? Почему так много за раз! Значит все проактивные системы антивирусов - это коммерческий фуфел?! |
Потому что в антивирус добавляются сигнатуры, обнаруженных вирусов в ручную. Подписанные драйвера никто не проверяет, так как их должен проверить подписант и вся ответственность лежит на нём. |
|
|
|
|
qazwsx20152014
Стаж: 9 лет 5 мес.
Сообщений: 587
Ratio: 0.858
100%
|
Вот же ж въедливые. Работали с ЦРУ работали, а тут бац все бекдоры вскрыли. Опять работать придется делать новые) |
|
|
|
|
SvinAU
Стаж: 12 лет 7 мес.
Сообщений: 121
Ratio: 9.454
Поблагодарили: 2
100%
|
Да! я так майнеров наловил,установив дрова с офф сайта |
|
|
|
|
nexvol
Стаж: 14 лет 2 мес.
Сообщений: 146
Ratio: 67.526
100%
|
| HackBlack писал(а): | Юзаю пиратские сборки Windows ещё с 2003 года. С Windows XP Professional Service Pack 1. Как хорошо, что есть урезанные сборки от Zosma, Den и т.д.
Вирусов - нет 100%, Касперский тоже юзаю с 2007г. Всё ОК! |
Умер https://pikabu.ru/story/sborshchik_zosma_k_sozhaleniyu_umer_10037547 |
|
|
|
|
|
|
