В России предлагают ввести принцип сетевого нейтралитета

В России предлагают ввести принцип сетевого нейтралитета

Наверняка многие слышали о принципе сетевого нейтралитета (net neutrality), за сохранение которого так отчаянно боролись граждане и некоторые компании США. Теперь и у нас хотят ввести подобный принцип предоставления интернет-услуг.

С подобной инициативой выступил Совет по развитию цифровой экономики при Совете федерации. Согласно принципу сетевого нейтралитета, провайдеры обязаны будут предоставлять трафик с любых сайтов без искусственного замедления или какого-либо приоритета.

Естественно, операторы связи сразу стали чесать затылок, так как это чревато для них частичными потерями доходов, которые они получают за счет манипуляции с трафиком.

В этой ситуации речь идет о партнерских программах, благодаря которым пользователи могут получать приоритетный доступ к отдельным веб-ресурсам. Замедление же трафика наблюдается в случае работы с торрент-сайтами.

Кстати, ситуация в Америке была полностью противоположной — сетевой нейтралитет хотели отменить. Это бы позволило американским провайдерам блокировать или замедлять работу интернет-ресурсов.

Среди паникеров оказались представители «Ростелекома», а именно вице-президент оператора Борис Глазков, который очень переживает за доход и обеспокоен тем, что сетевой нейтралитет окажет негативное влияние на его бизнес.

«Это сделает невозможными, например, предложения для абонентов, когда не тарифицируется трафик социальных сетей», — цитирует Глазкова «Ъ».

Нашлись и другие мнения — некоторые эксперты считают, что без принципа сетевого нейтралитета пострадают пользователи, так как им придется платить за более быстрый доступ к определенным сервисам.

В любом случае, эта инициатива будет еще выноситься на обсуждения. Посмотрим, к чему это все приведет.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Вредонос BlackByte отключает антивирусы с помощью легитимного драйвера MSI

Операторы программы-вымогателя BlackByte тоже начали использовать концепцию Bring Your Own Vulnerable Driver (BYOVD) в атаках. С помощью уязвимого легитимного драйвера киберпреступники смогли отключать защитные средства на компьютерах жертв.

На этот раз злоумышленники взяли в оборот драйвер MSI Afterburner — RTCore64.sys., содержащий уязвимость под идентификатором CVE-2019-16098. Эксплуатация этой бреши открывает возможность для повышения привилегий и выполнения кода в системах.

В результате операторы BlackByte смогли отключать драйвера, необходимые для корректной работы антивирусных программ, EDR и других средств защиты конечных точек. Эффективность метода BYOVD заключается в использовании подписанных официальных драйверов, которые не вызывают подозрения у системы и антивирусных продуктов. Именно поэтому им удаётся работать с наиболее высокими правами в системе.

На новые атаки BlackByte указали специалисты компании Sophos. По их словам, использование графического драйвера MSI открыло прямой доступ к кодам ввода-вывода из процессов, работающих на уровне пользователя. Это, кстати, нарушает правила Microsoft в отношении доступа к памяти ядра.

Другими словами, атакующие могут читать, записывать и выполнять код на уровне ядра без использования шелл-кода или специального эксплойта. На первом этапе одной из таких атак операторы BlackByte идентифицируют версию ядра, чтобы выбрать корректные оффсеты, совпадающие с ID ядра.

 

Далее атакующие копируют RTCore64.sys в директорию AppData\Roaming и создают службу с именем, жёстко заданным в коде.

 

Следующим шагом в ход вступает эксплуатация уязвимости, после чего вредонос выбирает подходящий драйвер установленного антивируса (или EDR) из специального списка, насчитывающего 1000 таких драйверов.

 

Само собой, этот подход существенно затрудняет детектирование BlackByte. Шифровальщик также ищет DLL, за которыми стоят продукты Avast, Sandboxie, Windows DbgHelp Library и Comodo Internet Security. При обнаружении таких библиотек он завершает их выполнение.

Напомним, что на днях кибергруппировка Lazarus начала использовать дырявый драйвер Dell для установки Windows-руткита.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru