Хакеры просто «ослепили» антивирусы. Оказывается, так можно было (если у вас есть драйвер-пенсионер)
NewsMakerЗафиксирована новая волна атак на Windows через SSL VPN.
Злоумышленники всё чаще начинают атаки не с вирусов, а с легального удалённого доступа. Новый инцидент, который разобрали специалисты компании Huntress, показал тревожную тенденцию. Попав в сеть через оборудование SonicWall , атакующие попытались последовательно «ослепить» почти все известные средства защиты и только после этого готовились к следующему шагу.
Атака произошла в начале февраля 2026 года. Преступники использовали скомпрометированные учётные данные для входа в защищённую сеть через SSL VPN. После успешной авторизации они начали активную разведку внутри инфраструктуры. Система обнаружения вторжений зафиксировала массовые проверки узлов сети, запросы имён и подозрительную активность по файловому протоколу. Это типичное поведение перед развёртыванием программ для шифрования данных.
Главной особенностью атаки стал инструмент отключения защитных средств. Вместо уязвимости в антивирусе злоумышленники применили старый, но легально подписанный драйвер из криминалистического пакета EnCase. Такой приём известен как «использование уязвимого драйвера» (Bring Your Own Vulnerable Driver, BYOVD ). В систему загружается настоящий драйвер с цифровой подписью, но с опасными возможностями. Через него можно завершать любые процессы прямо на уровне ядра, в обход встроенных механизмов самозащиты.
Сертификат этого драйвера истёк ещё в 2010 году и позже был отозван. Однако в архитектуре проверки драйверов в Windows есть давняя особенность. Система проверяет корректность подписи и цепочку доверия, но не сверяет статус отзыва сертификата при загрузке на раннем этапе. Этим и пользуются атакующие. Дополнительно срабатывает правило совместимости для драйверов, подписанных до 2015 года, а также метка времени в подписи, которая подтверждает, что на момент подписания сертификат был действителен.
Злоумышленники всё чаще начинают атаки не с вирусов, а с легального удалённого доступа. Новый инцидент, который разобрали специалисты компании Huntress, показал тревожную тенденцию. Попав в сеть через оборудование SonicWall , атакующие попытались последовательно «ослепить» почти все известные средства защиты и только после этого готовились к следующему шагу.
Атака произошла в начале февраля 2026 года. Преступники использовали скомпрометированные учётные данные для входа в защищённую сеть через SSL VPN. После успешной авторизации они начали активную разведку внутри инфраструктуры. Система обнаружения вторжений зафиксировала массовые проверки узлов сети, запросы имён и подозрительную активность по файловому протоколу. Это типичное поведение перед развёртыванием программ для шифрования данных.
Главной особенностью атаки стал инструмент отключения защитных средств. Вместо уязвимости в антивирусе злоумышленники применили старый, но легально подписанный драйвер из криминалистического пакета EnCase. Такой приём известен как «использование уязвимого драйвера» (Bring Your Own Vulnerable Driver, BYOVD ). В систему загружается настоящий драйвер с цифровой подписью, но с опасными возможностями. Через него можно завершать любые процессы прямо на уровне ядра, в обход встроенных механизмов самозащиты.
Сертификат этого драйвера истёк ещё в 2010 году и позже был отозван. Однако в архитектуре проверки драйверов в Windows есть давняя особенность. Система проверяет корректность подписи и цепочку доверия, но не сверяет статус отзыва сертификата при загрузке на раннем этапе. Этим и пользуются атакующие. Дополнительно срабатывает правило совместимости для драйверов, подписанных до 2015 года, а также метка времени в подписи, которая подтверждает, что на момент подписания сертификат был действителен.