Троян GootKit нашел интересный способ обхода Защитника Windows

Екатерина Быстрова 09 Сентября 2019 - 11:32

Домашние пользователи

Windows

Microsoft Windows Defender

Трояны

Утечки информации

Умышленные утечки информации

Кража данных

Взлом онлайн-банка

...

Троян GootKit нашел интересный способ обхода Защитника Windows

Поскольку Защитник Windows (Windows Defender) совершенствуется и все глубже интегрируется в Windows 10, авторы вредоносных программ ищут пути обхода этого встроенного антивируса. Взять, например, банковский троян GootKit, который использует обход UAC и команды WMIC для занесения своего файла в «белый список» Защитника Windows.

Основная задача GootKit — выкрасть учетные данные от онлайн-банкинга. Для этого троян перенаправляет жертв на поддельные сайты, замаскированные под банковские.

Исследователь вредоносных программ Виталий Кремец проанализировал образец GootKit, который обнаружил JamesWT. В ходе анализа выяснилось, что зловред пытается обойти детектирование Windows Defender, исключив путь к своему файлу из списка проверяемых.

Однако для начала вредонос проверяет, работает ли Защитник Windows в системе. Для этого выполняется следующая команда:

WMIC /Node:localhost /Namespace:\\root\SecurityCenter2 Path AntiVirusProduct Get displayName,productState /format:list

Если антивирус активирован, троян выполняет команду, создающую определённое значение в реестре Windows, что помогает файлу C:\Windows\system32\fodhelper.exe обойти UAC.

Весь алгоритм GootKit выглядит следующим образом:

Создаётся значение в реестре HKCU\\Software\\Classes\\ms-settings\\shell\\open\\command "DelegateExecute"=0. Оно необходимо для обхода контроля учетных записей.
Создаётся значение HKCU\\Software\\Classes\\ms-settings\\shell\\open\\command, указывающее на команду, которая занесёт путь к вредоносному файлу в «белый список». Вот эта команда: WMIC /Namespace:\\root\Microsoft\Windows\Defender class MSFT_MpPreference call Add ExclusionPath=\"' + excludeDir + '\".
Выполняется C:\Windows\System32\fodhelper.exe, что запускает вышеозначенную WMIC-команду. При этом никаких уведомлений со стороны UAC не выводится.
Вредонос пингует loopback-адрес 7 раз, чтобы создать определённую задержку.
Удаляется значение с командой WMIC из реестра.

После этого Защитник Windows уже не будет проверять файл трояна.

Следующая главная новость »

Итоги 2025 в ИБ: анализ рынка, тенденции и прогнозы в эфире AM Live. Регистрируйтесь по этой ссылке »

Яков Шпунт 22 Декабря 2025 - 10:50

Утечки информации Умышленные утечки информации Кража данных Малый и средний бизнес

31% киберинцидентов в 2025 году пришёлся на ретейл

По итогам 2025 года на розничную торговлю пришлось почти треть (31%) кибератак с наиболее высоким уровнем ущерба, при которых инфраструктура компаний оказывалась полностью уничтоженной. Кроме того, на ретейл пришлось около 40% всех инцидентов, связанных с утечками данных.

Такие данные приводят специалисты BI.ZONE. Как отметил руководитель управления по борьбе с киберугрозами Михаил Прохоренко, при атаках всё чаще используются вайперы — вредоносные программы, предназначенные для уничтожения данных и полного вывода из строя сетевого оборудования. Вероятно, по такому сценарию в июле был атакован дискаунтер «Доброцен».

По оценке BI.ZONE, около 40% всех эпизодов утечек данных также пришлось на розничную торговлю. Основными причинами эксперты называют устаревшую ИТ-инфраструктуру и недостаточное сегментирование сетей.

Второе место по числу обращений за расследованием киберинцидентов заняла ИТ-отрасль — 26%. При этом злоумышленники всё чаще выбирают целями небольшие ИТ-компании, используя их в качестве точки входа в инфраструктуру более крупных организаций, для которых они выступают подрядчиками. В 2025 году атаки на цепочки поставок вошли в число наиболее распространённых угроз для бизнеса.

Третье место разделили компании из сфер телекоммуникаций, транспорта и государственного сектора — по 11% инцидентов на каждую отрасль.

В BI.ZONE также отмечают значительный рост времени скрытого присутствия злоумышленников в инфраструктуре жертв. Если в 2024 году этот показатель составлял в среднем 25 дней, то в 2025-м он вырос до 42 дней. При этом минимальное время от первоначального проникновения до начала атаки составило всего 12 минут, а максимальное — почти полгода.

На восстановление работоспособности критически важных систем и возобновление базовых бизнес-процессов компаниям в среднем требовалось около трёх дней. Полное восстановление инфраструктуры и бизнес-процессов занимало порядка двух недель.

Итоги 2025 в ИБ: анализ рынка, тенденции и прогнозы в эфире AM Live. Регистрируйтесь по этой ссылке »