• 🔥 Бесплатный курс от Академии Кодебай: «Анализ защищенности веб-приложений»

    🛡 Научитесь находить и использовать уязвимости веб-приложений.
    🧠 Изучите SQLi, XSS, CSRF, IDOR и другие типовые атаки на практике.
    🧪 Погрузитесь в реальные лаборатории и взломайте свой первый сайт!
    🚀 Подходит новичкам — никаких сложных предварительных знаний не требуется.

    Доступ открыт прямо сейчас Записаться бесплатно

News Драйверы Microsoft используются для шифровальщиков

defender.png

Эксперты из SentinelOne, Mandiant и Sophos атаки, в которых вредоносные драйверы режима ядра с оригинальной подписью Microsoft использовались для отключения защиты на устройствах. В некоторых случаях после проникновения в сеть злоумышленники внедряли инструмент шифровальщик - Cuba или Hive.

В ходе атак был обнаружен новый тулкит, состоящий из двух компонентов: загрузчика STONESTOP и драйвера ядра POORTRY. Первый представляет собой приложение для пользовательского режима, которое пытается завершить процессы и удалить файлы антивирусов. Поскольку подобное ПО обычно защищено от вмешательства на уровне пользователя, в систему внедряется POORTRY с подписанным сертификатом, позволяющий повысить привилегии.

После получения сообщений об инциденте компания Microsoft отозвала скомпрометированные сертификаты, приостановила действие нескольких учетных записей разработчиков, открытых в рамках партнерской программы, а также обновила блок-лист Microsoft Defender.

Пользователям рекомендуется установить декабрьские обновления для Windows и убедиться, что используемые антивирусы и EDR активны и получили последние обновления.
 
  • Нравится
Реакции: Edmon Dantes
Мы в соцсетях:

Взломай свой первый сервер и прокачай скилл — Начни игру на HackerLab

Курс AD