Хакеры просто «ослепили» антивирусы. Оказывается, так можно было (если у вас есть драйвер-пенсионер)

Злоумышленники всё чаще начинают атаки не с вирусов, а с легального удалённого доступа. Новый инцидент, который разобрали специалисты компании Huntress, показал тревожную тенденцию. Попав в сеть через оборудование SonicWall, атакующие попытались последовательно «ослепить» почти все известные средства защиты и только после этого готовились к следующему шагу.

Атака произошла в начале февраля 2026 года. Преступники использовали скомпрометированные учётные данные для входа в защищённую сеть через SSL VPN. После успешной авторизации они начали активную разведку внутри инфраструктуры. Система обнаружения вторжений зафиксировала массовые проверки узлов сети, запросы имён и подозрительную активность по файловому протоколу. Это типичное поведение перед развёртыванием программ для шифрования данных.

Главной особенностью атаки стал инструмент отключения защитных средств. Вместо уязвимости в антивирусе злоумышленники применили старый, но легально подписанный драйвер из криминалистического пакета EnCase. Такой приём известен как «использование уязвимого драйвера» (Bring Your Own Vulnerable Driver, BYOVD). В систему загружается настоящий драйвер с цифровой подписью, но с опасными возможностями. Через него можно завершать любые процессы прямо на уровне ядра, в обход встроенных механизмов самозащиты.

Сертификат этого драйвера истёк ещё в 2010 году и позже был отозван. Однако в архитектуре проверки драйверов в Windows есть давняя особенность. Система проверяет корректность подписи и цепочку доверия, но не сверяет статус отзыва сертификата при загрузке на раннем этапе. Этим и пользуются атакующие. Дополнительно срабатывает правило совместимости для драйверов, подписанных до 2015 года, а также метка времени в подписи, которая подтверждает, что на момент подписания сертификат был действителен.

Исполняемый файл маскировался под утилиту обновления прошивки. Внутри него был спрятан драйвер, закодированный необычным способом. Каждый байт был заменён отдельным английским словом из словаря на 256 позиций. В результате вредоносное содержимое выглядело как обычный текст и хуже выявлялось статическими анализаторами. После расшифровки файл сохранялся в служебный каталог, получал атрибуты скрытого и системного, а его временные метки копировались у системной библиотеки, чтобы не выделяться при проверках.

Далее программа устанавливала драйвер как системную службу с правдоподобным названием, связанным с оборудованием. После загрузки драйвер позволял завершать процессы по специальной команде. Список целей включал 59 имён процессов популярных средств защиты. Среди них были встроенный антивирус Microsoft, а также решения CrowdStrike, SentinelOne, Sophos, Kaspersky, ESET, Bitdefender и другие. Проверка шла каждую секунду, поэтому даже перезапущенные службы снова немедленно отключались.

Развитию атаки помешало то, что события с сетевого оборудования поступали в централизованную систему анализа журналов. Специалисты сопоставили вход в VPN с подозрительного адреса, последующую активность внутри сети и сигналы от защитного агента. Заражённые узлы изолировали до того, как злоумышленники успели запустить шифрование данных.

Специалисты отмечают, что подобные методы всё чаще встречаются в атаках программ-вымогателей. Использование легально подписанных драйверов позволяет обходить многие уровни защиты и получать максимальные привилегии в системе. Для снижения риска рекомендуется включать многофакторную аутентификацию для удалённого доступа, проверять журналы входа, активировать контроль целостности памяти и правила блокировки уязвимых драйверов, которые распространяет Microsoft.