Зловредный XMRig блочит Windows Update и повышает права с помощью WinRing0

Зловредный XMRig блочит Windows Update и повышает права с помощью WinRing0

Зловредный XMRig блочит Windows Update и повышает права с помощью WinRing0

Специалисты G DATA проанализировали новый вредоносный вариант майнера XMRig, объявившийся минувшей весной на фоне роста курса монеро. Заражения были обнаружены в Китае, Бельгии, Греции и России.

Обновленный зловред проникает на Windows-машины поэтапно, используя предустановленные в системе скрипты и бинарники (LOLBAS) для запуска полезной нагрузки, закрепления и ухода от обнаружения.

Определить первичный вектор заражения аналитикам не удалось. Вредоносную цепочку запускает svchost.exe, порождающий cmd-процесс для выполнения пакетного скрипта, именуемого 1.cmd.

Этот сценарий проверяет наличие контрольного файла check.txt в папке %APPDATA%\Temp во избежание повторного заражения, изменяет настройки Microsoft Defender, чтобы исключить сканирование корня пути C:\, а затем загружает другой скрипт, S2.bat, из домена notif[.]su и скрытно запускает его на исполнение с помощью PowerShell.

Сценарий S2.bat прежде всего отключает Windows-сервисы, способные помешать дальнейшему развертыванию зловреда (службы обновлений, BITS, TrustedInstaller). Он также загружает с того же сайта XMRig (miner.exe), который при установке создает новый ключ реестра на быстрый запуск и дропает легитимный драйвер WinRing0 для повышения прав в системе.

Как оказалось, все задействованные в атаке скрипты не обфусцированы. Обнаруженные в кодах комментарии свидетельствуют о том, что их создал ИИ-кодер либо неумелый вирусописатель; несмотря на это, на момент обнаружения все файлы плохо детектились на VirusTotal.

По данным G DATA, к маю поток обновлений для зловреда-криптоджекера иссяк. Спустя пару недель используемый им сайт notif[.]su был заблокирован.

DLP-система Стахановец получила сертификат ФСТЭК по 4-му уровню доверия

Компания «Стахановец» получила сертификат соответствия ФСТЭК России на свой программный комплекс для защиты данных от утечек. Речь идет о сертификате №5078 по 4-му уровню доверия. Такой уровень подтверждает, что DLP-система соответствует требованиям ФСТЭК к средствам защиты информации.

После сертификации продукт может применяться в организациях с повышенными требованиями к информационной безопасности, включая государственные информационные системы и объекты критической информационной инфраструктуры.

В компании отметили, что подготовка к сертификации заняла больше года. За это время программный комплекс проходил проверку независимыми лабораториями — оценивались как безопасность и эффективность самого продукта, так и процессы его разработки.

По словам CEO «Стахановца» Дмитрия Исаева, получение сертификата стало подтверждением того, что система может использоваться в средах, где к защите данных предъявляются строгие требования.

Сертификат ФСТЭК стал не единственным документом в портфеле компании. «Стахановец» также имеет действующую лицензию ФСТЭК на разработку и производство средств защиты конфиденциальной информации, а сам продукт включен в Единый реестр российского программного обеспечения Минцифры.

Таким образом, DLP-система получила официальный статус, необходимый для использования в более чувствительных инфраструктурах, где важны не только функции контроля утечек, но и подтвержденное соответствие регуляторным требованиям.

RSS: Новости на портале Anti-Malware.ru