maybe_elf Feb 9 2020 at 18:21

Хакеры устанавливают на Windows уязвимые драйверы Gigabyte для отключения защиты

2 min

12K

Antivirus protection *Development for Windows *Software

Comments 8

v1000 Feb 9 2020 at 18:30

а я думал, что смешнее чем вирусы, устанавливающие Office, чтобы воспользоваться его уязвимостями, не будет.

teecat Feb 10 2020 at 16:59

Вирусы, устанавливающие нужную версию антивируса? Один как минимум помнится был такой

kITerE Feb 9 2020 at 22:16

Microsoft говорит, что в Windows 10 pro атака блокируется "из коробки"

Truth is all fancy EDRs and endpoint security can be disabled by an attack like this. With Driver control using HVCI on Windows 10 this attack is prevented. You don’t need to buy this, it’s included in Windows 10 pro and up. All Secured core PCs have it on by default. https://t.co/PuZIt2wPce
— Dave dwizzzle Weston (@dwizzzleMSFT) February 6, 2020

dartraiden Feb 9 2020 at 22:42

HVCI ещё должен быть включён, чего не происходит по умолчанию, если процессор старее Kaby Lake. Вдобавок, его включение приводит к автоматическому запуску Hyper-V со всеми вытекающими посдедствиями для сторонних гипервизоров.

Maximuzzz Feb 10 2020 at 00:51

«Сначала злоумышленники проникают в сеть компании и устанавливают легальный драйвер ядра Gigabyte GDRV.SYS.» — зачем все эти пляски с драйверами, если злоумышленники уже получили доступ к сети и доступ к конкретной машине, позволяющий установить драйвера? Неужели этого доступе не достаточно для отключения всех этих защитный механизмов и запуска шифровальщика?

MooNDeaR Feb 10 2020 at 02:14

Полагаю причина в том, что нужно отключить проверку загрузки драйверов. Без перезагрузки такие подпрыгивания не сделать, что как минимум палевно и долго, да ещё и надпись появится "тестовый режим".

Получается что нужно как-то попасть к ядру ОС и там намутить всякого без перезагрузки. Единственный известный мне способ достучаться до ядра — это запустить код в режиме ядра, а это значит нужно загрузить свой драйвер. Но как его загрузить, если он не подписан? Правильно — грузим уязвимый подписанный драйвер.

Вообще вроде есть способы выдать возможность пользователю устанавливать драйвера, но не выдать ему прав отключить тот же антивирус. Я не админ, так что тут вопрос к более компетентным людям.

v1000 Feb 10 2020 at 11:54

напоминает давнишний прикол с антивирусом Касперского, который очень обижался, когда хитрый пользователь отматывал время назад, чтобы не продлевать платную лицензию. И принудительно отключал антивирусный мониторинг. Чем стали пользоваться вирусы, первым делом переводя время назад, и только после отключения антивируса начинали заниматься своими делами. Пофиксили естественно, когда узнали про такое, (стали отключать только обновление баз), но сам факт.

bvbr Feb 10 2020 at 05:57

Опомнились)))
на тематических форумах уже несколько лет ходят списки драйверов с уязвимостями через которые можно пролезьть в Ring0

А отзывать эти сертификаты нельзя — завалится куча устройств где подписаные этим сертом драйвера используются вполне легально.