Новости CVE-2024-21338: как Lazarus используют драйверы Windows для создания бессмертного руткита

NewsMaker

I'm just a script
Премиум
14,593
22
8 Ноя 2022
От нового способа взлома не помогают даже защитные механизмы.


10os7tgpxj09yhrvt394iope07zrb8cl.jpg


Северокорейские хакеры Lazarus использовали уязвимость в драйвере Windows AppLocker для получения доступа на уровне ядра и отключения средств безопасности, избежав обнаружения.

Аналитики Avast Для просмотра ссылки Войди или Зарегистрируйся о деятельности хакеров компании Microsoft, что привело к устранению уязвимости ядра Windows, получившей обозначение Для просмотра ссылки Войди или Зарегистрируйся (оценка CVSS: 7.8) и связанной с повышением привилегий. Однако, Microsoft не классифицировала недостаток как 0day. Ошибка Для просмотра ссылки Войди или Зарегистрируйся в последнем обновлении Patch Tuesday в феврале.

Группа Lazarus использовала CVE-2024-21338 для создания примитива чтения/записи в ядре в обновленной версии своего руткита FudModule, Для просмотра ссылки Войди или Зарегистрируйся ESET в конце 2022 года. Стоит отметить, что FudModule использует метод BYOVD (Bring Your Own Vulnerable Driver), который позволяет хакерам эксплуатировать уязвимость в драйвере устройств. Недостаток развязывает киберпреступникам руки, открывая полный доступ к памяти ядра.

В новой версии FudModule внедрены значительные улучшения по скрытности и функциональности, включая новые методы обхода обнаружения и отключения защитных механизмов, таких как Microsoft Defender и CrowdStrike Falcon.

Кроме того, Avast обнаружила ранее не задокументированный троян удаленного доступа (Remote Access Trojan, RAT ), используемый группировкой, о чем компания Для просмотра ссылки Войди или Зарегистрируйся на конференции BlackHat Asia в апреле.

Метод эксплуатации включал манипулирование диспетчером ввода-вывода в драйвере appid.sys для вызова произвольного указателя, что позволяло обойти проверки безопасности. Руткит FudModule выполнял операции прямой манипуляции объектами ядра (Direct Kernel Object Manipulation, DKOM ) для отключения продуктов безопасности, скрытия злонамеренных действий и обеспечения устойчивости на зараженной системе.

Среди целей – продукты безопасности AhnLab V3 Endpoint Security, Windows Defender, CrowdStrike Falcon и антивирусное решение HitmanPro. Новая версия руткита обладает функциями скрытности и расширенными возможностями, включая способность приостанавливать защищенные процессы, выборочное и целенаправленное нарушение работы системы защиты.

Avast подчеркивает, что новая тактика эксплуатации свидетельствует о значительной эволюции способностей хакеров к скрытным атакам и удержанию контроля над компрометированными системами на длительный срок. Единственной эффективной мерой безопасности является своевременное применение обновлений, поскольку использование встроенного драйвера Windows делает атаку особенно сложной для обнаружения и пресечения.
 
Источник новости
www.securitylab.ru

Похожие темы