Ssylka

Как недобросовестный драйвер отключает антивирусы?

Medusa Ransomware использует метод BYOVD, чтобы доставить свой шифратор через загрузчик, упакованный инструментом HeartCrypt, и тем самым нейтрализовать антивирусы и другие системы обнаружения вредоносного ПО.
Как недобросовестный драйвер отключает антивирусы?
Изображение носит иллюстративный характер

Злоумышленники развёртывают драйвер ABYSSWORKER, файл которого носит имя smuol.sys и имитирует легитимный драйвер CrowdStrike Falcon (CSAgent.sys). Подписанный вероятно украденными и отозванными сертификатами китайских компаний, этот драйвер устанавливается на заражённые машины для отключения средств Endpoint Detection and Response (EDR).

Подобный EDR-killing драйвер ранее документировался ConnectWise в январе 2025 года под именем nbwdv.sys, что указывает на постоянное совершенствование методов обхода защиты.

При инициализации ABYSSWORKER добавляет свой идентификатор в список глобально защищённых процессов и обрабатывает запросы ввода-вывода, распределяя их по функциям в зависимости от кода. Так, код 0x222080 активирует драйвер с использованием пароля «7N6bCAoECbItsUR5-h4Rp2nkQxybfKb0F-wgbJGHGh20pWUuN1-ZxfXdiOYps6HTp0X», 0x2220c0 загружает необходимые ядровые API, 0x222184 отвечает за копирование файлов, 0x222180 – за удаление, 0x222408 – за завершение системных потоков по имени модуля, а 0x222400 удаляет уведомления, «ослепляя» защитные продукты. Дополнительно, коды 0x222144 и 0x222140 завершают процессы и потоки, 0x222084 деактивирует вредоносное ПО, а 0x222664 инициирует перезагрузку системы. Код 0x222400 используется и другими инструментами, например, EDRSandBlast и RealBlindingEDR.

Получив высокоуровневые привилегии через vsdatant.sys, злоумышленники эксплуатировали уязвимости для обхода защитных механизмов и установки постоянных RDP-соединений, что позволяло получить полный контроль над заражёнными системами. Несмотря на то, что Check Point уже «запатчил» эту уязвимость, на протяжении атаки злоумышленники успевали похищать конфиденциальные данные, включая пароли и сохранённые учётные данные.

Операция RansomHub, также известная как Greenbottle или Cyclops, демонстрирует использование незадокументированного многофункционального бэкдора с кодовым именем Betruger. Этот инструмент позволяет вести скриншотинг, кейлоггинг, сканирование сети, повышение привилегий, сбор учётных данных и передачу информации на удалённый сервер. По оценке компании Symantec, принадлежащей Broadcom, применение кастомного бэкдора минимизировало количество новых инструментов, используемых в атакуемой сети, что стало заметным отклонением от стандартных методов с применением, например, Mimikatz и Cobalt Strike.

Комбинация вредоносного драйвера ABYSSWORKER, подписанного украденными отозванными сертификатами, и точное использование команд ввода-вывода обеспечивает обход большинства систем защиты. Артефакты драйвера, обнаруженные на VirusTotal в период с 8 августа 2024 по 25 февраля 2025, подтверждают масштаб и активность этой атаки.

Применение методов BYOVD и эксплуатация уязвимостей для получения ядровых привилегий подчёркивают растущую сложность современных ransomware-операций. Постоянный доступ через RDP и возможность извлечения чувствительных данных создают угрозу долгосрочного воздействия, затрудняя оперативное реагирование на инциденты безопасности.


Новое на сайте

15389Подземное таяние под фундаментом северной Америки 15388NASA показала астероид Doughaldjohanson с формой булавы 15387Запрет восьми искусственных красителей в продуктах США: план Роберта Кеннеди-младшего 15386Как зловредный Docker-модуль использует Teneo Web3 для добычи криптовалюты через... 15385Влияние плана 529 на размер финансовой помощи в вузах 15384Первое свидетельство социального потребления алкоголя среди шимпанзе 15383Возвращение беверли Найт на родную сцену Веллингтона 15382«Череп» Марса: неожиданная находка ровера Perseverance в кратере Джезеро 15381Внутренние угрозы безопасности: браузеры как слабое звено в корпоративной защите 15380Тайна столкновения в скоплении персея раскрыта 15379Уязвимость ConfusedComposer в GCP Cloud Composer открывает путь к эскалации привилегий 15378Как когнитивные тесты помогают воспитать послушного щенка 15377Почему астероид Дональджонсон удивляет геологов всей сложностью? 15376Почему забыть отравление едой невозможно? 15375Стальная гнездовая коробка на мосту: надежная защита для орланов и автомобилистов