„Kaspersky Lab“ automatizuotos technologijos aptiko anksčiau nežinomą „Microsoft Windows“ pažeidžiamumą. Siekdama visiškos tikslinio įrenginio kontrolės jį panaudojo nenustatyta nusikalstama grupė. Išpuolis buvo nukreiptas į „Windows“ operacinės sistemos branduolį.

„Backdoor“ yra nepaprastai pavojingas kenkėjiškų programų tipas, nes leidžia nusikaltėliams kontroliuoti užkrėstus įrenginius visiškai slapta. Tokias trečiųjų šalių programas paprastai sunku paslėpti nuo saugumo sprendimų. Tačiau „backdoor“, kuris naudojasi anksčiau nežinoma sistemos klaida, turi daug daugiau galimybių išlikti nepastebėtas. Įprasti saugumo sprendimai negali atpažinti sistemos infekcijos ir negali apsaugoti vartotojų nuo dar neaptiktos grėsmės.

Tačiau „Kaspersky Lab“ išnaudojimo prevencijos technologija sugebėjo aptikti nežinomą „Microsoft Windows“ operacinės sistemos pažeidžiamumą. Paleidus kenkėjišką .exe failą buvo pradėtas kenkėjiškos programos diegimas. Infekcija išnaudojo nulinės dienos pažeidžiamumą ir įgavo privilegiją sėkmingai įsitvirtinti aukų įrenginiuose. Kenkėjiška programa inicijavo „backdoor“ programos, sukurtos naudojant legalų „Windows“ elementą, paleidimą visose šią operacinę sistemą naudojančiuose įrenginiuose. Tai leido grėsmės vykdytojams veikti slapta ir išvengti aptikimo bei sutaupyti laiko rašant kenkėjiškos įrangos kodą. Tada, iš populiaraus ir teisėto teksto saugojimo paslaugų tiekėjo, kenkėjiška programa atsisiųsdavo dar vieną „backdoor“ virusą, kuris savo ruožtu suteikė nusikaltėliams pilną užkrėstos sistemos kontrolę.

„Šioje atakoje pastebėjome dvi pagrindines tendencijas, kurias dažnai matome ir kitų tikslinių atakų metu. Pirma, tai vietinių privilegijų išnaudojimas, kad būtų galima sėkmingai išlikti aukos kompiuteryje. Antra – teisėtų sistemų, tokių kaip „Windows PowerShell“, panaudojimas kenkėjiškoms veikloms. Šis derinys nusikaltėliams suteikia galimybę apeiti standartinius saugumo sprendimus. Siekiant aptikti tokius metodus, saugumo sprendimai turi naudoti išnaudojimo prevencijos ir elgsenos nustatymo variklius“, – paaiškina „Kaspersky Lab“ saugumo ekspertas Anton Ivanov.

„Kaspersky Lab“ produktai aptiko išnaudojimą kaip:

• HEUR:Exploit.Win32.Generic
• HEUR:Trojan.Win32.Generic
• PDM:Exploit.Win32.Generic

Apie pažeidžiamumą pranešta „Microsoft“, o balandžio 10 d. išleistas sistemos pataisymas.

Jei norite išvengti „Windows“ nulinės dienos pažeidžiamumo, „Kaspersky Lab“ rekomenduoja imtis šių saugumo priemonių:

• Kuo greičiau įdiekite „Microsoft“ programinės įrangos pataisymą.
• Jei nerimaujate dėl visos organizacijos saugumo, tada įsitikinkite, kad jūsų įmonėje naudojama programinė įranga yra reguliariai atnaujinama. Apsaugos produktai, kurie turi pažeidžiamumo įvertinimą ir pataisų valdymo galimybes, gali padėti automatizuoti šiuos procesus.
• Naudokite patikimą saugumo sprendimą, turintį elgesiu pagrįstą aptikimo funkciją, kuri veiksmingai jus apsaugos nuo nežinomų grėsmių, pavyzdžiui, Kaspersky Endpoint Security.
• Įsitikinkite, kad jūsų saugumo komanda turi prieigą prie naujausios kibernetinių grėsmių žvalgybos. „Kaspersky Intelligence Reporting“ klientams suteikiamos privačios ataskaitos apie naujausius kibernetinių pavojų pokyčius. Dėl išsamesnės informacijos kreipkitės: intelreports@kaspersky.com
• Paskutinis, bet ne mažiau svarbus dalykas – užtikrinkite, kad jūsų darbuotojams būtų suteikti kibernetinio saugumo pagrindai.

Daugiau informacijos apie naująjį išnaudojimą rasite Securelist tinklaraštyje.

Norėdami atidžiau pažvelgti į technologijas, kurios aptiko šį ir kitus „Microsoft Windows“ nulinės dienos pažeidžiamumus, galite peržiūrėti „Kaspersky Lab“ internetinį seminarą.

Komentarai (6)