Xάκερ χρησιμοποιούν νόμιμα driver για να τερματίσουν τα antivirus
SecNews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Xάκερ χρησιμοποιούν νόμιμα driver για να τερματίσουν τα antivirus
https://www.secnews.gr/655674/hacker-xrisimopoioun-nomima-driver-termatisoun-antivirus/
Aug 7th 2025, 18:23
by Management Account
Σε μια σύνθετη εκστρατεία που παρατηρήθηκε για πρώτη φορά τον Οκτώβριο του 2024, οι χάκερ έχουν αρχίσει να εκμεταλλεύονται έναν νόμιμο driver για να απενεργοποιήσουν το λογισμικό antivirus σε παραβιασμένα δίκτυα.
Δείτε επίσης: Κρίσιμες ευπάθειες σε Dell laptops απειλούν χρήστες
Αξιοποιώντας τον driver ThrottleStop.sys—ο οποίος σχεδιάστηκε αρχικά από την TechPowerUp για τη διαχείριση της επιβράδυνσης της CPU—το κακόβουλο λογισμικό αποκτά πρόσβαση στη μνήμη σε επίπεδο πυρήνα (kernel-level memory access) για να τερματίσει τις διαδικασίες ασφαλείας κατά βούληση.
Η αρχική πρόσβαση επιτυγχάνεται συχνά μέσω κλεμμένων διαπιστευτηρίων RDP ή με brute-force επιθέσεις σε διαχειριστικούς λογαριασμούς, επιτρέποντας στον αντίπαλο να αναπτύξει τον AV killer (δολοφόνο antivirus) παράλληλα με πακέτα ransomware όπως το MedusaLocker.
Οι αναλυτές της Securelist σημείωσαν ότι μόλις εισέλθουν στο δίκτυο, οι κακόβουλοι παράγοντες εξάγουν επιπλέον διαπιστευτήρια χρηστών με εργαλεία όπως το Mimikatz και κινούνται οριζόντια (lateral movement) χρησιμοποιώντας τεχνικές Pass-the-Hash μέσω των Invoke-WMIExec.ps1 ή Invoke-SMBExec.ps1. Αφού ολοκληρωθεί η οριζόντια κίνηση, ο επιτιθέμενος ανεβάζει δύο βασικά αρχεία—το ThrottleBlood.sys (τον μετονομασμένο ευάλωτο οδηγό) και το All.exe (τον AV killer)—σε καταλόγους χρηστών όπως το C:\Users\Administrator\Music.
Ο Windows Defender και άλλες πλατφόρμες προστασίας τερματικών αρχικά περιέχουν το ransomware, αλλά ο AV killer τερματίζει γρήγορα τις διαδικασίες τους, αφήνοντας τα συστήματα ανυπεράσπιστα. Η επίδραση του κακόβουλου λογισμικού έχει υπάρξει σοβαρή, ιδιαίτερα σε βιομηχανίες με εκτεθειμένα RDP endpoints. Θύματα στη Βραζιλία, την Ουκρανία, το Καζακστάν, τη Λευκορωσία και τη Ρωσία έχουν αναφέρει εκτενή κρυπτογράφηση κρίσιμων δεδομένων, με τις προσπάθειες αποκατάστασης να εμποδίζονται από απενεργοποιημένους μηχανισμούς άμυνας.
Δείτε ακόμα: Microsoft: Ρώσοι χάκερ παραβιάζουν πρεσβείες μέσω ISP
Οι ερευνητές της Securelist εντόπισαν ότι οι παραδοσιακές δυνατότητες αυτοάμυνας στα προϊόντα της Kaspersky—όπως η προστασία διαδικασιών μνήμης και η παρακολούθηση αλλαγών μητρώου—αντεπεξέρχονται αποτελεσματικά σε αυτόν τον AV killer, αλλά πολλές οργανώσεις παραμένουν εξαρτημένες από λιγότερο ανθεκτικές λύσεις.
Χάκερ χρησιμοποιούν νόμιμα driver για να τερματίσουν τα antivirus
Στην καρδιά αυτού του AV killer βρίσκεται η εκμετάλλευση δύο ευάλωτων λειτουργιών IOCTL στον οδηγό ThrottleStop.sys, οι οποίες επιτρέπουν αυθαίρετες αναγνώσεις και εγγραφές φυσικής μνήμης. Αφού φορτώσει το ThrottleBlood.sys μέσω του API του Service Control Manager, το κακόβουλο λογισμικό καλεί τη NtQuerySystemInformation με την παράμετρο SystemModuleInformation για να απαριθμήσει τα φορτωμένα modules και να εντοπίσει τη διεύθυνση βάσης του πυρήνα.
Χρησιμοποιώντας μια βιβλιοθήκη μετάφρασης βασισμένη στο SuperFetch, μετατρέπει τη virtual διεύθυνση του NtAddAtom σε φυσική διεύθυνση. Μόλις προκύψει η φυσική διεύθυνση, το All.exe γράφει ένα μικρό stub shellcode που πηδά σε αυθαίρετες λειτουργίες του πυρήνα όπως η PsTerminateProcess.
Σε έναν συνεχόμενο βρόχο, το κακόβουλο λογισμικό απαριθμεί τις διαδικασίες με τις Process32FirstW και Process32NextW, συγκρίνοντας κάθε μία με μια hardcoded λίστα εκτελέσιμων antivirus—που κυμαίνονται από το MsMpEng.exe (Windows Defender) έως το ekrn.exe (ESET). Αφού βρει μια αντιστοιχία, καλεί τη PsLookupProcessById για να αποκτήσει ένα handle και στη συνέχεια καλεί τη PsTerminateProcess για να τερματίσει την υπηρεσία. Ανακτώντας τα αρχικά bytes του πυρήνα μετά από κάθε εκτέλεση, ο AV killer αποφεύγει τις καταρρεύσεις συστήματος και αποφεύγει την ανίχνευση.
Δείτε επίσης: Το Linux malware Koske κρύβεται σε εικόνες με αρκουδάκια Panda
Αυτή η κομψή συνδυασμένη εκμετάλλευση νόμιμου driver και έγχυσης κώδικα σε επίπεδο πυρήνα υπογραμμίζει την επείγουσα ανάγκη για παρακολούθηση της ακεραιότητας των οδηγών και στρατηγικές άμυνας σε βάθος, συμπεριλαμβανομένων αυστηρών πολιτικών RDP, πολυπαραγοντικής αυθεντικοποίησης και τακτικής σάρωσης ευπαθειών.
You are receiving this email because you subscribed to this feed at https://blogtrottr.com?lctg=1169672
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz?lctg=1169672
IT Security News, Gadgets, Tweaks for Geeks and More
Xάκερ χρησιμοποιούν νόμιμα driver για να τερματίσουν τα antivirus
https://www.secnews.gr/655674/hacker-xrisimopoioun-nomima-driver-termatisoun-antivirus/
Aug 7th 2025, 18:23
by Management Account
Σε μια σύνθετη εκστρατεία που παρατηρήθηκε για πρώτη φορά τον Οκτώβριο του 2024, οι χάκερ έχουν αρχίσει να εκμεταλλεύονται έναν νόμιμο driver για να απενεργοποιήσουν το λογισμικό antivirus σε παραβιασμένα δίκτυα.
Δείτε επίσης: Κρίσιμες ευπάθειες σε Dell laptops απειλούν χρήστες
Αξιοποιώντας τον driver ThrottleStop.sys—ο οποίος σχεδιάστηκε αρχικά από την TechPowerUp για τη διαχείριση της επιβράδυνσης της CPU—το κακόβουλο λογισμικό αποκτά πρόσβαση στη μνήμη σε επίπεδο πυρήνα (kernel-level memory access) για να τερματίσει τις διαδικασίες ασφαλείας κατά βούληση.
Η αρχική πρόσβαση επιτυγχάνεται συχνά μέσω κλεμμένων διαπιστευτηρίων RDP ή με brute-force επιθέσεις σε διαχειριστικούς λογαριασμούς, επιτρέποντας στον αντίπαλο να αναπτύξει τον AV killer (δολοφόνο antivirus) παράλληλα με πακέτα ransomware όπως το MedusaLocker.
Οι αναλυτές της Securelist σημείωσαν ότι μόλις εισέλθουν στο δίκτυο, οι κακόβουλοι παράγοντες εξάγουν επιπλέον διαπιστευτήρια χρηστών με εργαλεία όπως το Mimikatz και κινούνται οριζόντια (lateral movement) χρησιμοποιώντας τεχνικές Pass-the-Hash μέσω των Invoke-WMIExec.ps1 ή Invoke-SMBExec.ps1. Αφού ολοκληρωθεί η οριζόντια κίνηση, ο επιτιθέμενος ανεβάζει δύο βασικά αρχεία—το ThrottleBlood.sys (τον μετονομασμένο ευάλωτο οδηγό) και το All.exe (τον AV killer)—σε καταλόγους χρηστών όπως το C:\Users\Administrator\Music.
Ο Windows Defender και άλλες πλατφόρμες προστασίας τερματικών αρχικά περιέχουν το ransomware, αλλά ο AV killer τερματίζει γρήγορα τις διαδικασίες τους, αφήνοντας τα συστήματα ανυπεράσπιστα. Η επίδραση του κακόβουλου λογισμικού έχει υπάρξει σοβαρή, ιδιαίτερα σε βιομηχανίες με εκτεθειμένα RDP endpoints. Θύματα στη Βραζιλία, την Ουκρανία, το Καζακστάν, τη Λευκορωσία και τη Ρωσία έχουν αναφέρει εκτενή κρυπτογράφηση κρίσιμων δεδομένων, με τις προσπάθειες αποκατάστασης να εμποδίζονται από απενεργοποιημένους μηχανισμούς άμυνας.
Δείτε ακόμα: Microsoft: Ρώσοι χάκερ παραβιάζουν πρεσβείες μέσω ISP
Οι ερευνητές της Securelist εντόπισαν ότι οι παραδοσιακές δυνατότητες αυτοάμυνας στα προϊόντα της Kaspersky—όπως η προστασία διαδικασιών μνήμης και η παρακολούθηση αλλαγών μητρώου—αντεπεξέρχονται αποτελεσματικά σε αυτόν τον AV killer, αλλά πολλές οργανώσεις παραμένουν εξαρτημένες από λιγότερο ανθεκτικές λύσεις.
Χάκερ χρησιμοποιούν νόμιμα driver για να τερματίσουν τα antivirus
Στην καρδιά αυτού του AV killer βρίσκεται η εκμετάλλευση δύο ευάλωτων λειτουργιών IOCTL στον οδηγό ThrottleStop.sys, οι οποίες επιτρέπουν αυθαίρετες αναγνώσεις και εγγραφές φυσικής μνήμης. Αφού φορτώσει το ThrottleBlood.sys μέσω του API του Service Control Manager, το κακόβουλο λογισμικό καλεί τη NtQuerySystemInformation με την παράμετρο SystemModuleInformation για να απαριθμήσει τα φορτωμένα modules και να εντοπίσει τη διεύθυνση βάσης του πυρήνα.
Χρησιμοποιώντας μια βιβλιοθήκη μετάφρασης βασισμένη στο SuperFetch, μετατρέπει τη virtual διεύθυνση του NtAddAtom σε φυσική διεύθυνση. Μόλις προκύψει η φυσική διεύθυνση, το All.exe γράφει ένα μικρό stub shellcode που πηδά σε αυθαίρετες λειτουργίες του πυρήνα όπως η PsTerminateProcess.
Σε έναν συνεχόμενο βρόχο, το κακόβουλο λογισμικό απαριθμεί τις διαδικασίες με τις Process32FirstW και Process32NextW, συγκρίνοντας κάθε μία με μια hardcoded λίστα εκτελέσιμων antivirus—που κυμαίνονται από το MsMpEng.exe (Windows Defender) έως το ekrn.exe (ESET). Αφού βρει μια αντιστοιχία, καλεί τη PsLookupProcessById για να αποκτήσει ένα handle και στη συνέχεια καλεί τη PsTerminateProcess για να τερματίσει την υπηρεσία. Ανακτώντας τα αρχικά bytes του πυρήνα μετά από κάθε εκτέλεση, ο AV killer αποφεύγει τις καταρρεύσεις συστήματος και αποφεύγει την ανίχνευση.
Δείτε επίσης: Το Linux malware Koske κρύβεται σε εικόνες με αρκουδάκια Panda
Αυτή η κομψή συνδυασμένη εκμετάλλευση νόμιμου driver και έγχυσης κώδικα σε επίπεδο πυρήνα υπογραμμίζει την επείγουσα ανάγκη για παρακολούθηση της ακεραιότητας των οδηγών και στρατηγικές άμυνας σε βάθος, συμπεριλαμβανομένων αυστηρών πολιτικών RDP, πολυπαραγοντικής αυθεντικοποίησης και τακτικής σάρωσης ευπαθειών.
You are receiving this email because you subscribed to this feed at https://blogtrottr.com?lctg=1169672
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz?lctg=1169672