Хакеры нашли способ уничтожать защиту изнутри ядра. Но если вы горите по-русски, то вам даже не нужен антивирус
NewsMakerНовый вредонос группы Qilin отключает более 300 различных инструментов безопасности на одном устройстве.
Злоумышленники из группы Qilin пошли дальше обычных атак с вымогателями и научились отключать защиту прямо на компьютере жертвы ещё до того, как начнётся шифрование. Специалисты Cisco Talos показали , как работает вредоносный файл, который буквально «выключает» современные средства защиты.
Речь идёт о поддельной библиотеке «msimg32.dll», которую атакующие подбрасывают вместе с легитимной программой. Как только программа запускается, вредоносный код начинает работать незаметно для пользователя. При этом оригинальные функции библиотеки сохраняются, чтобы ничего не выдавало подмену.
Дальше начинается многоступенчатая атака. Сначала запускается загрузчик, который готовит систему и извлекает скрытый внутри второй компонент. Код маскирует свою активность, обходит контроль системных вызовов и отключает механизмы журналирования в Windows. Благодаря этому вредоносная нагрузка выполняется прямо в памяти и не оставляет заметных следов.
После подготовки запускается основной модуль. Он загружает вспомогательные драйверы, один из которых даёт доступ к физической памяти компьютера, а второй позволяет завершать защищённые процессы. Перед этим вредоносный код отключает внутренние механизмы наблюдения, которые используют системы защиты для отслеживания событий.
Злоумышленники из группы Qilin пошли дальше обычных атак с вымогателями и научились отключать защиту прямо на компьютере жертвы ещё до того, как начнётся шифрование. Специалисты Cisco Talos показали , как работает вредоносный файл, который буквально «выключает» современные средства защиты.
Речь идёт о поддельной библиотеке «msimg32.dll», которую атакующие подбрасывают вместе с легитимной программой. Как только программа запускается, вредоносный код начинает работать незаметно для пользователя. При этом оригинальные функции библиотеки сохраняются, чтобы ничего не выдавало подмену.
Дальше начинается многоступенчатая атака. Сначала запускается загрузчик, который готовит систему и извлекает скрытый внутри второй компонент. Код маскирует свою активность, обходит контроль системных вызовов и отключает механизмы журналирования в Windows. Благодаря этому вредоносная нагрузка выполняется прямо в памяти и не оставляет заметных следов.
После подготовки запускается основной модуль. Он загружает вспомогательные драйверы, один из которых даёт доступ к физической памяти компьютера, а второй позволяет завершать защищённые процессы. Перед этим вредоносный код отключает внутренние механизмы наблюдения, которые используют системы защиты для отслеживания событий.