Новий варіант ransomware під назвою GodDamn потрапив у заголовки новин через техніку, яка має непокоїти кожного, хто вважає, що його антивірус має останнє слово щодо того, що запускається на комп’ютері. Згідно з повідомленням Dark Reading, зловмисники, які стоять за GodDamn, використовують шкідливий драйвер рівня ядра, підписаний самою Microsoft, перетворюючи довірений цифровий сертифікат на зброю проти тих самих засобів безпеки, які мали б його зупинити. Це хрестоматійний приклад атаки BYOVD, скорочення від «Bring Your Own Vulnerable Driver» (принеси свій вразливий драйвер), і вона стає одним із найнадійніших прийомів у арсеналі операторів ransomware.
Що сталося
Ransomware GodDamn атакував американські компанії, розгортаючи драйвер рівня ядра з легітимним підписом Microsoft. Оскільки Windows довіряє підписаним драйверам працювати глибоко всередині операційної системи, цей драйвер зміг прослизнути повз захист і завершити процеси безпеки ще до того, як було виконано шкідливе навантаження. Щойно захист кінцевих точок вимкнено, зловмисники можуть вільно шифрувати файли та переміщуватися мережею переважно непоміченими. Найбільш вражаюча деталь: сам факт, що Microsoft спершу підписала цей драйвер, означає, що шкідливому коду не потрібно було використовувати вразливість у Windows — достатньо було зловжити довірою, закладеною в сам процес підписання.
Як BYOVD обходить ваш захист
Драйвери рівня ядра працюють із найвищими привілеями на машині під керуванням Windows, фактично на рівні, нижчому за той, де працює більшість антивірусних інструментів і засобів виявлення на кінцевих точках. Саме тому зловмисники так прагнуть їх отримати. Драйвер із дійсним підписом не викликає такої ж перевірки, як непідписаний або невідомий виконуваний файл, тому він може тихо завантажитися, а потім використовуватися для вимкнення, осліплення чи завершення інших процесів безпеки в системі.
Це важливо не лише для традиційного антивірусу. VPN-клієнти, DNS-фільтри та інші програми для приватності чи безпеки також працюють як процеси в тій самій операційній системі, і вони так само вразливі до завершення з боку атакуючого, який вже отримав такий рівень контролю на рівні ядра. VPN шифрує ваш трафік і може допомогти запобігти певним видам мережевого стеження, але він ніколи не був спроєктований для зупинки шкідливого драйвера, який вимикає захисне програмне забезпечення на рівні ОС. Щойно зловмисник отримує доступ до ядра, він діє нижче рівня, на якому більшість споживчих і корпоративних інструментів безпеки можуть його бачити. Саме тому ешелонований захист має значення, а не опора на один-єдиний інструмент.
BYOVD не є новим, але він став улюбленою технікою саме тому, що так добре працює проти сучасних засобів захисту. Оператори ransomware дедалі частіше вбудовують цю можливість безпосередньо у свою шкідливу програму, замість того щоб використовувати її як окремий інструмент, розгорнутий заздалегідь, що пришвидшує атаки та ускладнює виявлення. Ширша тенденція — зловмисники швидко рухаються, щойно знаходять те, що працює, — зараз помітна на всьому ландшафті ransomware. Угруповання, що займаються вимаганням, також демонструють готовність швидко завдавати ударів по критичній інфраструктурі, як це сталося, коли SpaceBears атакували французького телеком-оператора на початку цього року, а масштабні операції з викрадення даних, такі як та, про яку заявили ShinyHunters проти NAIC, показують, скільки даних опиняється під загрозою, щойно початкові засоби захисту не спрацьовують.
Чому це важливо для безпеки вашого пристрою
Головний урок від GodDamn полягає не у ransomware як такому, а в крихкості моделей безпеки, заснованих на довірі. Підписаний код, перевірені сертифікати та схвалення виробника — все це мало б сигналізувати про безпеку, але зловмисники постійно знаходять способи зловживати цими самими сигналами. Швидкість також є чинником. Так само як зловмисники швидко скомпрометували десятки тисяч серверів після того, як було розкрито критичну вразливість обходу автентифікації cPanel, угруповання ransomware швидко опановують будь-яку техніку, зокрема шкідливі підписані драйвери, яка дає їм перевагу над захисниками.
Для звичайних користувачів так само, як і для ІТ-адміністраторів, це підкріплює просту думку: одного рівня безпеки, чи то антивірус, VPN або брандмауер, недостатньо. Глибоко ешелонований захист, тобто кілька перекривних заходів захисту, залишається найреалістичнішим способом знизити ризик, коли зловмисники активно шукають шляхи обходу будь-якого окремого засобу контролю.
Що це означає для вас
Якщо ви керуєте системами Windows, чи то вдома, чи в бізнес-середовищі, кампанія GodDamn є нагадуванням про необхідність підтримувати в актуальному стані примусове підписування драйверів, виявлення на кінцевих точках і керування виправленнями. Windows має механізми для блокування відомих шкідливих драйверів, і підтримувати цей захист в актуальному стані критично важливо, оскільки зловмисники покладаються на застарілі списки блокування, щоб прослизнути з вразливими драйверами повз виявлення.
VPN залишається цінною складовою вашого інструментарію для приватності та безпеки, зокрема для шифрування трафіку в ненадійних мережах та обмеження можливостей для певних форм стеження, але його слід розуміти як один із рівнів захисту серед інших, а не як повний захист від складного шкідливого ПЗ. Поєднання надійного VPN з оновленим антивірусним програмним забезпеченням, своєчасними патчами ОС та обережним поводженням із завантаженнями і вкладеннями електронної пошти дає вам набагато міцнішу загальну позицію, ніж покладання на будь-який окремий інструмент.
Конкретні кроки
Підтримуйте Windows та все захисне програмне забезпечення повністю оновленими, оскільки Microsoft періодично оновлює свій список блокування вразливих драйверів, щоб закривати подібні прогалини. Увімкніть функції цілісності пам’яті та ізоляції ядра в налаштуваннях Windows Security там, де вони підтримуються, — це може ускладнити проведення атак BYOVD. Регулярно створюйте резервні копії критичних даних і зберігайте копії офлайн, щоб шифрування ransomware не могло взяти ваші файли в заручники. Ставтеся до VPN як до частини ширшої стратегії безпеки, а не як до окремого щита, поєднуючи його із захистом кінцевих точок і звичками безпечного перегляду. Нарешті, будьте в курсі нових технік BYOVD та ransomware, адже розуміння того, як зловмисники обходять захист, заснований на довірі, є першим кроком до закриття цих прогалин до того, як вони дістануться вас.




