Ssylka

Как недобросовестный драйвер отключает антивирусы?

Medusa Ransomware использует метод BYOVD, чтобы доставить свой шифратор через загрузчик, упакованный инструментом HeartCrypt, и тем самым нейтрализовать антивирусы и другие системы обнаружения вредоносного ПО.
Как недобросовестный драйвер отключает антивирусы?
Изображение носит иллюстративный характер

Злоумышленники развёртывают драйвер ABYSSWORKER, файл которого носит имя smuol.sys и имитирует легитимный драйвер CrowdStrike Falcon (CSAgent.sys). Подписанный вероятно украденными и отозванными сертификатами китайских компаний, этот драйвер устанавливается на заражённые машины для отключения средств Endpoint Detection and Response (EDR).

Подобный EDR-killing драйвер ранее документировался ConnectWise в январе 2025 года под именем nbwdv.sys, что указывает на постоянное совершенствование методов обхода защиты.

При инициализации ABYSSWORKER добавляет свой идентификатор в список глобально защищённых процессов и обрабатывает запросы ввода-вывода, распределяя их по функциям в зависимости от кода. Так, код 0x222080 активирует драйвер с использованием пароля «7N6bCAoECbItsUR5-h4Rp2nkQxybfKb0F-wgbJGHGh20pWUuN1-ZxfXdiOYps6HTp0X», 0x2220c0 загружает необходимые ядровые API, 0x222184 отвечает за копирование файлов, 0x222180 – за удаление, 0x222408 – за завершение системных потоков по имени модуля, а 0x222400 удаляет уведомления, «ослепляя» защитные продукты. Дополнительно, коды 0x222144 и 0x222140 завершают процессы и потоки, 0x222084 деактивирует вредоносное ПО, а 0x222664 инициирует перезагрузку системы. Код 0x222400 используется и другими инструментами, например, EDRSandBlast и RealBlindingEDR.

Получив высокоуровневые привилегии через vsdatant.sys, злоумышленники эксплуатировали уязвимости для обхода защитных механизмов и установки постоянных RDP-соединений, что позволяло получить полный контроль над заражёнными системами. Несмотря на то, что Check Point уже «запатчил» эту уязвимость, на протяжении атаки злоумышленники успевали похищать конфиденциальные данные, включая пароли и сохранённые учётные данные.

Операция RansomHub, также известная как Greenbottle или Cyclops, демонстрирует использование незадокументированного многофункционального бэкдора с кодовым именем Betruger. Этот инструмент позволяет вести скриншотинг, кейлоггинг, сканирование сети, повышение привилегий, сбор учётных данных и передачу информации на удалённый сервер. По оценке компании Symantec, принадлежащей Broadcom, применение кастомного бэкдора минимизировало количество новых инструментов, используемых в атакуемой сети, что стало заметным отклонением от стандартных методов с применением, например, Mimikatz и Cobalt Strike.

Комбинация вредоносного драйвера ABYSSWORKER, подписанного украденными отозванными сертификатами, и точное использование команд ввода-вывода обеспечивает обход большинства систем защиты. Артефакты драйвера, обнаруженные на VirusTotal в период с 8 августа 2024 по 25 февраля 2025, подтверждают масштаб и активность этой атаки.

Применение методов BYOVD и эксплуатация уязвимостей для получения ядровых привилегий подчёркивают растущую сложность современных ransomware-операций. Постоянный доступ через RDP и возможность извлечения чувствительных данных создают угрозу долгосрочного воздействия, затрудняя оперативное реагирование на инциденты безопасности.


Новое на сайте

15733Как выжить при глобальной катастрофе: почему сообщество важнее капитала? 15732Марсианские "потёки краски": новые свидетельства схожести геологических... 15731Как ядерная энергетика становится ключом к развитию искусственного интеллекта? 15730Последняя попытка спастись: уникальная находка в доме древних римлян в Помпеях 15729Что скрывается в вашем дворе: ужасающая находка, заставившая интернет содрогнуться? 15728Древняя звезда раскрывает тайны эволюции космических объектов 15727Ньюкасл впервые примет церемонию вручения престижной премии Mercury Prize 15726Европол ликвидировал шесть сервисов DDoS-атак на заказ 15725Критические уязвимости в плагине OttoKit угрожают более 100 000 сайтов WordPress 15724Как злоумышленники могут получить полный доступ к системам через уязвимости в SysAid? 15723Как решить главную проблему SSE-платформ в защите корпоративных данных? 15722Как сохранить баланс: почему Белла Рэмси поддерживает гендерное разделение кинонаград? 15721Группировка Play Ransomware использует уязвимость нулевого дня Windows для атак 15720Как безопасно родить крупного ребенка: революционное исследование расширяет возможности...