Użytkownicy systemu Windows są ponownie podatni na ataki złośliwego oprogramowania.
Luka w zabezpieczeniach sterownika uległa teraz eskalacji
Jak już informowaliśmy, na początku tego miesiąca Eclypsium, firma zajmująca się cyberbezpieczeństwem, ujawniła, że większość producentów sprzętu ma lukę, która umożliwia złośliwemu oprogramowaniu uzyskanie uprawnień do jądra na poziomie użytkownika.
Szukasz najlepszych narzędzi do ochrony przed złośliwym oprogramowaniem do blokowania zagrożeń w systemie Windows 10? Sprawdź nasze najlepsze propozycje w tym artykule.
Oznacza to, że może uzyskać bezpośredni dostęp do oprogramowania sprzętowego i sprzętu.
Teraz atak Complete Control, który zagroził dostawcom BIOS-u, takim jak Intel i NVIDIA, dotyczy wszystkich nowszych wersji systemu Windows, w tym 7, 8, 8.1 i Windows 10.
W momencie wykrycia Microsoft stwierdził, że zagrożenie nie jest realnym zagrożeniem dla jego systemu operacyjnego i Windows Defender może powstrzymać każdy atak oparty na luce.
Ale gigant technologiczny zapomniał wspomnieć, że tylko najnowsze poprawki systemu Windows zapewniają ochronę. Dlatego użytkownicy systemu Windows, którzy nie są aktualni, są podatni na ataki.
Aby temu przeciwdziałać, Microsoft chce umieścić na czarnej liście wszystkie sterowniki, które przedstawiają lukę za pośrednictwem HVCI (integralność kodu wymuszanego przez Hypervisor), ale to nie rozwiąże problemu dla wszystkich.
HVCI jest obsługiwany tylko na urządzeniach z systemem 7th Procesory Intel Gen. lub nowsze. Ponownie użytkownicy, którzy mają starsze sterowniki, muszą ręcznie odinstalować sterowniki, których dotyczy problem, lub są podatni na błąd.
Zawsze chroń swoje dane za pomocą rozwiązania antywirusowego. Przeczytaj ten artykuł, aby znaleźć najlepsze dostępne dzisiaj.
Hakerzy używają NanoCore RAT, aby uzyskać dostęp do twojego systemu
Teraz napastnicy znaleźli sposób na wykorzystanie luki, a wokół czai się zaktualizowana wersja trojana zdalnego dostępu (RAT) o nazwie NanoCore RAT.
Na szczęście badacze bezpieczeństwa z LMNTRX Labs już sobie z tym poradzili i podzielili się, w jaki sposób można wykryć RAT:
- T1064 - tworzenie skryptów: Skrypty są powszechnie używane przez administratorów systemu do wykonywania rutynowych zadań. Każde nietypowe wykonanie legalnych programów skryptowych, takich jak PowerShell lub Wscript, może sygnalizować podejrzane zachowanie. Sprawdzanie plików pakietu Office pod kątem kodu makr może również pomóc w identyfikacji skryptów używanych przez atakujących. Procesy pakietu Office, takie jak winword.exe spawnujące wystąpienia cmd.exe lub aplikacje skryptowe, takie jak wscript.exe i powershell.exe, mogą wskazywać na złośliwą aktywność.
- T1060 - Klucze uruchamiania rejestru / folder startowy: Monitorowanie rejestru pod kątem zmian w uruchamianiu kluczy, które nie są powiązane ze znanym oprogramowaniem lub cyklami poprawek, oraz monitorowanie folderu startowego pod kątem dodatków lub zmian może pomóc w wykryciu złośliwego oprogramowania. Podejrzane programy uruchamiane podczas uruchamiania mogą się pojawiać jako procesy odstające, których wcześniej nie widziano w porównaniu z danymi historycznymi. Rozwiązania takie jak LMNTRIX Respond, które monitorują te ważne lokalizacje i powiadamiają o wszelkich podejrzanych zmianach lub dodaniach, mogą pomóc wykryć takie zachowania.
- T1193 - Dodatek do spearphishingu: Systemy wykrywania włamań sieciowych, takie jak LMNTRIX Detect, mogą być używane do wykrywania spearphishingu przy użyciu złośliwych załączników w drodze. W przypadku LMNTRIX Detect wbudowane komory detonacyjne mogą wykrywać złośliwe załączniki na podstawie zachowania, a nie sygnatur. Ma to kluczowe znaczenie, ponieważ wykrywanie oparte na sygnaturach często nie chroni przed atakującymi, którzy często zmieniają i aktualizują swoje ładunki.
Pamiętaj, aby zachować bezpieczeństwo, aktualizując wszystkie sterowniki i system Windows do najnowszej dostępnej wersji.
Jeśli nie wiesz, jak to zrobić, przygotowaliśmy przewodnik, który pomoże Ci zaktualizować wszelkie nieaktualne sterowniki.