Слишком много следов?
Image

Слишком много следов?

Рассказываем, как замести цифровые следы и вернуть себе право на приватность. Стань невидимкой!

Хакеры нашли способ уничтожать защиту изнутри ядра. Но если вы горите по-русски, то вам даже не нужен антивирус

leer en español

Qilin антивирус Windows защита безопасность
Хакеры нашли способ уничтожать защиту изнутри ядра. Но если вы горите по-русски, то вам даже не нужен антивирус
Qilin антивирус Windows защита безопасность

Новый вредонос группы Qilin отключает более 300 различных инструментов безопасности на одном устройстве.

image

Злоумышленники из группы Qilin пошли дальше обычных атак с вымогателями и научились отключать защиту прямо на компьютере жертвы ещё до того, как начнётся шифрование. Специалисты Cisco Talos показали, как работает вредоносный файл, который буквально «выключает» современные средства защиты.

Речь идёт о поддельной библиотеке «msimg32.dll», которую атакующие подбрасывают вместе с легитимной программой. Как только программа запускается, вредоносный код начинает работать незаметно для пользователя. При этом оригинальные функции библиотеки сохраняются, чтобы ничего не выдавало подмену.

Дальше начинается многоступенчатая атака. Сначала запускается загрузчик, который готовит систему и извлекает скрытый внутри второй компонент. Код маскирует свою активность, обходит контроль системных вызовов и отключает механизмы журналирования в Windows. Благодаря этому вредоносная нагрузка выполняется прямо в памяти и не оставляет заметных следов.

После подготовки запускается основной модуль. Он загружает вспомогательные драйверы, один из которых даёт доступ к физической памяти компьютера, а второй позволяет завершать защищённые процессы. Перед этим вредоносный код отключает внутренние механизмы наблюдения, которые используют системы защиты для отслеживания событий.

Главная цель – средства обнаружения и реагирования на угрозы, которые устанавливаются на компьютеры для защиты от сложных атак. Вредонос способен отключить более 300 различных драйверов таких решений от разных производителей. Для этого он напрямую работает с памятью ядра системы и удаляет обработчики событий, на которых держится контроль за процессами и файлами.

Атака примечательна тем, что вредонос избегает заражения компьютеров с настройками языков стран бывшего СССР. При обнаружении оной программа просто завершает работу.

В атаке используют легитимный драйвер, изначально предназначенный для работы с оборудованием. Такой драйвер подписан действующим сертификатом и не вызывает подозрений. Однако его возможности позволяют читать и записывать физическую память, чем и пользуются злоумышленники. На финальном этапе вредонос завершает процессы защитных решений, включая встроенный антивирус Windows. После этого система остаётся практически беззащитной, и злоумышленники могут продолжить атаку.