Kaspersky, Avast, Microsoft ответили на блок антивирусов через Safe Mode

Татьяна Никитина 16 Декабря 2020 - 14:35

Лаборатория Касперского

Microsoft Windows Defender

Эксплойты

Уязвимости программ

...

Kaspersky, Avast, Microsoft ответили на блок антивирусов через Safe Mode

Обнаружен способ дистанционного отключения антивирусов на Windows с использованием режима безопасного запуска. Microsoft не считает находку Роберто Франческетти (Roberto Franceschetti) уязвимостью, так как проведение атаки требует наличия прав администратора.

Автор находки, напротив, уверен, что разработчики Windows допустили ошибку, поэтому он опубликовал результаты исследования и PoC-коды для деактивации Microsoft Defender, а также антивирусных продуктов Avast, Bitdefender, F-Secure и Kaspersky.

По словам Франческетти, написанные им bat-скрипты можно запустить как локально, так и удаленно. В обоих случаях они работают одинаково: инициируют перезагрузку Windows в безопасном режиме и переименовывают папку антивируса до запуска ассоциированной службы.

Для смены имени папок защитных решений в системе создается служба Windows NT, способная работать в безопасном режиме. Поскольку в этом случае ОС при старте блокирует большинство сторонних и не критичных для ее работы сервисов, исследователю пришлось обеспечить запуск своей службы добавлением записи в раздел реестра HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal.

Созданный Франческетти эксплойт с успехом отработал на Windows 10 и Windows Server 2016 с такой защитой, как Defender, Avast и F-Secure. Антивирусы Kaspersky и Bitdefender смогли воспрепятствовать завершению PoC-сценария, так как в них предусмотрена защита от несанкционированного вмешательства, и соответствующие скрипты пришлось немного изменить.

Провести такую атаку на Windows без повышенных привилегий невозможно, однако исследователь не преминул отметить, что на многих домашних ПК вход осуществляется из-под аккаунта администратора. В корпоративном окружении подобный эксплойт более опасен: если ряд служащих имеет админ-доступ ко всем рабочим станциям или серверу компании, достаточно убедить одного из них запустить вредоносный bat-файл, и весь парк останется без антивирусной защиты.

В Microsoft отказались признавать PoC-атаку Франческетти угрозой безопасности и не планируют что-либо исправлять. Производители антивирусов, по мнению исследователя, мало чем могут помочь: корень зла кроется в Windows, а не их решениях. Тем не менее, некоторые из названных ИБ-вендоров собираются принять меры для предотвращения атак по предложенному сценарию — в частности, о таком намерении заявили Avast и «Лаборатория Касперского».

В F-Secure уповают на EDR-зашиту (Endpoint Detection and Response, система обнаружения целевых атак на конечных точках сети). Bitdefender, как и Microsoft, не считает нужным реагировать на находку, так как та «не является уязвимостью либо непредусмотренным поведением».

Следующая главная новость »

Secrets Management 2026: где на самом деле сливаются ключи? Регистрируйтесь на эфир AM Live!

Екатерина Быстрова 16 Февраля 2026 - 20:58

Бэкдоры Трояны Целевые атаки Таргетированные атаки Корпорации Государство ГК «Солар»

Каждая пятая финкомпания в России имеет следы присутствия профхакеров

Каждая пятая компания из финансового сектора в России имеет признаки присутствия профессиональных кибергруппировок в своей инфраструктуре. К таким выводам пришёл центр исследования киберугроз Solar 4RAYS группы компаний «Солар». Исследование подготовлено к ежегодному Уральскому форуму «Кибербезопасность в финансах», который организует Банк России.

Аналитика основана на данных сети сенсоров, размещённых по всей стране: они фиксируют активность зловреда из заражённых корпоративных сетей — от майнеров и RAT до шифровальщиков и ботнетов.

По итогам 2025 года в кредитно-финансовых организациях зафиксировали более 375 тысяч случаев заражения вредоносными программами. В среднем на одну компанию в четвёртом квартале пришлось 74 инцидента — это почти в четыре раза больше, чем годом ранее.

При этом доля финсектора в общем объёме заражений среди всех отраслей составляет около 3%. По оценке экспертов, это косвенно говорит о достаточно высоком уровне базовой защиты. Тем не менее интерес злоумышленников к отрасли растёт — и это заметно по динамике.

Чаще всего в 2025 году финансовые компании сталкивались со стилерами — на них пришлось 41% заражений. Эти программы предназначены для кражи данных. На втором месте — средства удалённого доступа (RAT) и бэкдоры (21%), которые позволяют злоумышленникам управлять взломанными устройствами и продавать доступ к инфраструктуре на теневых площадках. Ещё в 20% случаев специалисты фиксировали индикаторы присутствия профессиональных APT-группировок.

Отдельно аналитики отмечают рост доли стилеров: в четвёртом квартале их стало на 10 процентных пунктов больше по сравнению с аналогичным периодом прошлого года — показатель достиг 33%. Это указывает на повышенный интерес к хищению конфиденциальных данных.

«Несмотря на относительно небольшую долю финсектора в общем объёме ИБ-событий с вредоносными программами, серьёзную угрозу представляют профессиональные APT-группировки и киберпреступники, нацеленные на прямое хищение средств или вымогательство. Финансовая отрасль ожидаемо привлекает злоумышленников, которые хотят заработать», — отметил руководитель группы анализа вредоносных программ Solar 4RAYS Станислав Пыжов.

По его словам, уровень защиты в финсекторе остаётся высоким, а интенсивность атак ниже, чем, например, в ТЭК, где среднее число заражений на одну организацию превышает тысячу. Но именно точечные, профессионально подготовленные атаки сегодня представляют для банков и финансовых компаний наибольший риск.

Secrets Management 2026: где на самом деле сливаются ключи? Регистрируйтесь на эфир AM Live!