Нов щам рансъмуер, наречен GodDamn, привлича вниманието с техника, която трябва да тревожи всеки, който смята, че антивирусният му софтуер има последната дума за това какво се изпълнява на машината му. Според репортаж на Dark Reading, атакуващите зад GodDamn използват злонамерен драйвер на ядрото, който самата Microsoft е подписала, превръщайки доверен цифров сертификат в оръжие срещу същите защитни инструменти, които би трябвало да го спрат. Това е христоматиен пример за BYOVD атака, съкратено от „Bring Your Own Vulnerable Driver“ (донеси си собствен уязвим драйвер), и се превръща в един от най-надеждните трикове в арсенала на операторите на рансъмуер.
Какво се случи
Рансъмуерът GodDamn атакува американски компании, като разгръща драйвер на ниво ядро, който носи легитимен подпис на Microsoft. Тъй като Windows се доверява на подписани драйвери да работят дълбоко в операционната система, този драйвер успя да се промъкне покрай защитите и да прекрати защитния софтуер, преди изобщо да се изпълни полезният товар на рансъмуера. След като защитата на крайните точки бъде изключена, атакуващите са свободни да криптират файлове и да се движат в мрежата до голяма степен незабелязано. Фактът, че Microsoft е подписала драйвера на първо място, е най-поразителната подробност тук: това означава, че злонамереният код не е трябвало да експлоатира пропуск в Windows, а по-скоро да злоупотреби с доверието, вложено в самия процес на подписване.
Как BYOVD заобикаля вашия стек за сигурност
Драйверите на ядрото работят на най-високото ниво на привилегии на машина с Windows, ефективно под слоя, на който работят повечето антивирусни инструменти и инструменти за откриване на крайни точки. Именно затова атакуващите искат такъв. Драйвер с валиден подпис не предизвиква същото внимание, което би предизвикал неподписан или неизвестен изпълним файл, така че може да се зареди тихо и след това да бъде използван за деактивиране, заслепяване или убиване на други процеси за сигурност, работещи в системата.
Това има значение и отвъд традиционния антивирус. VPN клиентският софтуер, инструментите за DNS филтриране и други приложения за поверителност или сигурност също се изпълняват като процеси на същата операционна система и могат да бъдат също толкова уязвими към спиране от атакуващ на ниво ядро, който вече разполага с това ниво на контрол. VPN криптира трафика ви и може да помогне за предотвратяване на определени видове мрежово подслушване, но никога не е проектиран да спре злонамерен драйвер да деактивира защитния софтуер на ниво ОС. Веднъж получил достъп до ядрото, атакуващият оперира под нивото, на което повечето потребителски и корпоративни инструменти за сигурност могат да го видят – точно затова многослойната защита има значение, вместо да се разчита на един-единствен инструмент.
BYOVD не е ново, но се е превърнало в предпочитана техника именно защото работи толкова добре срещу модерните защити. Операторите на рансъмуер все по-често вграждат тази способност директно в своя зловреден софтуер, вместо да я третират като отделен инструмент, разгърнат предварително, което ускорява атаките и прави откриването по-трудно. По-широкият модел на атакуващите, които действат бързо, щом намерят нещо, което работи, е видим в целия пейзаж на рансъмуера в момента. Групи за изнудване също показаха готовност да удрят бързо критична инфраструктура, както се видя, когато SpaceBears атакува френски телекомуникационен оператор по-рано тази година, а мащабни операции за кражба на данни като тази, заявена от ShinyHunters срещу NAIC, показват колко данни са заложени на карта, след като първоначалните защити се провалят.
Защо това има значение за сигурността на вашето устройство
Основният урок от GodDamn не е за рансъмуера изолирано, а за крехкостта на моделите за сигурност, основани на доверие. Подписаният код, проверените сертификати и одобрението от доставчика са предназначени да сигнализират безопасност, но атакуващите продължават да намират начини да злоупотребяват точно с тези сигнали. Скоростта също е фактор. Точно както атакуващите действаха бързо, за да компрометират десетки хиляди сървъри, след като беше оповестена критична уязвимост за заобикаляне на удостоверяване в cPanel, групите за рансъмуер бързо въвеждат в действие всяка техника, включително злонамерени подписани драйвери, която им дава предимство пред защитниците.
За обикновените потребители и ИТ администраторите това затвърждава една проста мисъл: нито един слой защита, било то антивирус, VPN или защитна стена, не е достатъчен сам по себе си. Защитата в дълбочина, т.е. множество припокриващи се защити, остава най-реалистичният начин за намаляване на риска, когато атакуващите активно намират начини да заобиколят всяка отделна контрола.
Какво означава това за вас
Ако управлявате Windows системи, независимо дали у дома или в бизнес среда, кампанията с GodDamn рансъмуер е напомняне да поддържате прилагането на подписване на драйвери, откриването на крайни точки и управлението на корекции актуални. Windows разполага с механизми за блокиране на известни злонамерени драйвери и поддържането на тези защити актуализирани е от съществено значение, тъй като атакуващите разчитат на остарели списъци за блокиране, за да прокарат уязвими драйвери покрай откриването.
VPN остава ценна част от вашия инструментариум за поверителност и сигурност, особено за криптиране на трафика в ненадеждни мрежи и ограничаване на излагането на определени форми на наблюдение, но трябва да се разбира като един слой сред няколко, а не като пълна защита срещу усъвършенстван зловреден софтуер. Комбинирането на реномиран VPN с актуализиран антивирусен софтуер, навременни пачове за ОС и предпазливо боравене с изтегляния и прикачени файлове към имейли ви дава много по-силна цялостна позиция, отколкото разчитането на който и да било отделен инструмент.
Практически изводи
Поддържайте Windows и целия си софтуер за сигурност напълно актуализирани, тъй като Microsoft периодично обновява списъка си за блокиране на уязвими драйвери, за да затвори пропуски като този. Активирайте функциите за цялост на паметта и изолация на ядрото в настройките за сигурност на Windows, където се поддържат, тъй като те могат да направят BYOVD атаките по-трудни за осъществяване. Редовно създавайте резервни копия на критични данни и съхранявайте копия офлайн, за да не може криптирането на рансъмуера да държи файловете ви за заложници. Третирайте VPN като част от по-широка стратегия за сигурност, а не като самостоятелен щит, като го комбинирате със защита на крайните точки и навици за безопасно сърфиране. Накрая, останете информирани за нововъзникващи BYOVD и рансъмуер техники, тъй като разбирането как атакуващите заобикалят основаните на доверие защити е първата стъпка към затварянето на тези пропуски, преди да са ви засегнали.




