ВХОД / РЕГИСТРАЦИЯ

BETA VERSION

Търсене
Generic filters

Хакерите на Lazarus се възползват от грешка в драйвера за Dell

севернокорейски хакери Lazarus

Прословутата севернокорейска хакерска група Lazarus беше забелязана да инсталира руткит за Windows, който може да пробие хардуерния драйвер на Dell при атаката Bring Your Own Vulnerable Driver (BYOVD) „Донесете свой собствен уязвим драйвер”.

Руткит – в най-общия случай е програма, с която киберпрестъпниците скриват следите си при проникване в заразен компютър или система.

Фишинг атаката започва още през есента на 2021 година, а потвърдените мишени са насочени аерокосмически експерт в Холандия и политически журналист в Белгия.

Основната цел е била шпионаж и кражба на данни.

При отварянето на нарочените документи хакерите изтеглят темплейт от сложно кодиран отдалечен адрес. После заразяват устройството, включително с програми за зареждане на зловреден софтуер, "троянци" и така наречените персонализирани задни вратички.

Сред инструментите, използвани в тази атака, най-интересният е нов руткит FudModule, който, използвайки за първи път техниката BYOVD (Bring Your Own Vulnerable Driver), удря уязвимостите в хардуерния драйвер на Dell.

„Най-забележителният инструмент, доставен от нападателите, беше модул за потребителски режим, който получи способността да чете и записва паметта на ядрото, поради уязвимостта CVE-2021-21551 в легитимен драйвер на Dell“, обясняват специалисти по киберсигурност по повод атаката. Това е първата регистрирана злоупотреба с подобна уязвимост.

След това хакерите използват своя достъп за запис в паметта на ядрото, за да деактивират седемте механизма, които операционната система Windows предлага за защита и наблюдение на нейните действия, като регистър, файлова система, създаване на процеси, проследяване на събития и т.н., като на практика заслепяват решенията за сигурност по много всеобхватен и устойчив начин.

Атаката е „Донесете свой собствен уязвим драйвер” (BYOVD), когато участниците в заплахата зареждат законни, подписани драйвери в Windows, които съдържат известни уязвимости. Тъй като драйверите могат да бъдат засечени, Windows позволява тяхното инсталиране в операционната система.

И така участниците в заплахата вече могат да използват уязвимостите на драйвера, за да стартират команди с възможности на ниво ядро.

При тази атака Lazarus използва уязвимостта CVE-2021-21551 в хардуерния драйвер за Dell („dbutil_2_3.sys“), което съответства на комплект от пет пропуска, които сякаш никой не забелязваше в продължение на 12 години, преди доставчикът на компютри най-накрая да наложи актуализации за защитата им.

Още в края на 2021 г. изследователи от Rapid 7 предупредиха, че този конкретен драйвер е перфектен за BYOVD атаки, поради неадекватните корекции на Dell, позволяващи изпълнение на кода на ядрото, дори на най-нови версии.

 

Facebook
Twitter
LinkedIn

Още от категорията..

Последни новини

PODCAST

Вашият коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *