Подписанные Microsoft драйверы используются для внедрения шифровальщиков

Татьяна Никитина 14 Декабря 2022 - 17:22

Домашние пользователи

Программы-шифровальщики

Уязвимости программ

Целевые атаки

Таргетированные атаки

...

Подписанные Microsoft драйверы используются для внедрения шифровальщиков

Эксперты SentinelOne, Mandiant и Sophos зафиксировали целевые атаки, в ходе которых для отключения защиты конечных устройств использовались вредоносные драйверы режима ядра с подлинной подписью Microsoft. В некоторых случаях после проникновения в сеть злоумышленники внедряли в нее шифровальщика — Cuba или Hive.

Получив сообщения об абьюзах, техногигант отозвал скомпрометированные сертификаты, приостановил действие нескольких аккаунтов разработчика, открытых в рамках партнерской программы, и обновил блок-лист Microsoft Defender (1.377.987.0 и новее). Пользователям рекомендуется установить декабрьские накопительные обновления для Windows и удостовериться, что используемые антивирусы и EDR активны и получили последние апдейты.

При разборе кибератак, о которых сообщили в Microsoft, был обнаружен новый тулкит, состоящий из двух компонентов: загрузчика STONESTOP и драйвера ядра POORTRY. Первый представляет собой приложение режима пользователя, которое пытается прибить защитные продукты из вшитого списка (завершить процессы и удалить файлы). Поскольку ИБ-софт обычно огражден от вмешательства на уровне пользователя, в систему устанавливается подписанный POORTRY, позволяющий повысить привилегии.

В Sophos зафиксировали использование этого тулкита разными киберпреступниками. Одну из таких атак удалось пресечь до развертывания финальной полезной нагрузки; в ИБ-компании с высокой степенью уверенности полагают, что целью злоумышленников было внедрение в сеть шифровальщика Cuba.

Эксперты SentinelOne обнаружили данный тулкит в атаках против телеком-провайдеров, аутсорсеров бизнес-процессов, финансистов, поставщиков услуг по управлению ИБ. Зафиксирован случай, когда злоумышленники, проникнув сеть медучреждения, попытались запустить туда Hive.

В Mandiant наблюдали использование тулкита в августовских атаках UNC3944 — кибергруппы, с мая промышляющей сим-свопингом. Эти преступники обычно получают доступ к сети с помощью учетных данных, украденных посредством смишинга.

При загрузке драйвера ядра в Windows он получает самые высокие привилегии. Злоупотребление этой возможностью позволяет атакующему совершать действия, недоступные обычному пользователю: завершать процессы ИБ-программ, удалять защищенные файлы, выполнять функции руткита.

Начиная с Windows 10, к драйверам режима ядра предъявляется дополнительное требование — обязательное наличие цифровой подписи, получаемой в соответствии с Windows Hardware Developer Program (WHDP). С октября 2020 года введена блокировка некорректно подписанных драйверов, и многие ИБ-платформы автоматически доверяют кодам, подписанным Microsoft — чем и пользуются злоумышленники.

Следующая главная новость »

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »

Екатерина Быстрова 11 Февраля 2026 - 18:23

Windows Staffcop Enterprise Корпорации Системы защиты от утечек конфиденциальной информации (DLP)

Staffcop добавил файловый сканер и перехват данных в MAX на Windows

В Staffcop (входит в экосистему «Контур») вышло обновление, которое добавляет больше инструментов для расследования инцидентов и профилактики утечек. Самое важное нововведение — файловый сканер для инвентаризации данных и перехват переписки в MAX на Windows.

Новый файловый сканер собирает информацию о файлах на рабочих станциях и в хранилищах, анализирует их содержимое и передаёт результаты на сервер.

Данные автоматически раскладываются по категориям, после чего с ними проще работать: настраивать доступы, политики, назначать метки. Для ИБ-специалистов добавили удобные фильтры и поиск — это упрощает разбор результатов и помогает быстрее находить чувствительные данные и потенциальные риски.

Кроме того, Staffcop теперь учитывает метки, которые проставляет «Спектр.Маркер», и использует их в метаданных файлов. Это позволяет точнее применять политики и ускоряет расследование инцидентов: информация из двух систем анализируется автоматически.

В части контроля коммуникаций добавлен перехват переписки в мессенджере MAX на Windows, а также WebWhatsApp на Linux. Это даёт возможность анализировать сообщения, фиксировать нарушения и выявлять признаки передачи защищаемой информации через несанкционированные каналы.

Разработчики также переработали обработку данных: ускорили извлечение текста и выделение слов-триггеров. Новый механизм спуллера распределяет нагрузку при приёме данных от агентов, что снижает риск просадок производительности и ошибок при работе с большими объёмами информации.

Появился обновлённый драйвер контроля клавиатуры — он позволяет надёжнее фиксировать ввод паролей при входе в систему. Это расширяет возможности контроля рабочих станций и помогает выявлять слабые пароли, несанкционированные учётные записи и попытки доступа.

Обновили и утилиту удалённой установки агентов: теперь можно гибче задавать правила установки и исключения, что особенно актуально для сложной инфраструктуры. Добавлена поддержка Rutoken на Windows для контроля использования токенов, а в интерфейсе появилась информация о сроке окончания технической поддержки сервера — чтобы администраторам было проще планировать обновления и продление поддержки.

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »