HomeSecurityΧάκερ καταχρώνται το Avast anti-rootkit driver και απενεργοποιούν τις άμυνες

Χάκερ καταχρώνται το Avast anti-rootkit driver και απενεργοποιούν τις άμυνες

Μια νέα κακόβουλη καμπάνια χρησιμοποιεί ένα νόμιμο αλλά παλιό και ευάλωτο πρόγραμμα driver Avast Anti-Rootkit, για να αποφύγει τον εντοπισμό και να πάρει τον έλεγχο του συστήματος στόχου απενεργοποιώντας τα στοιχεία ασφαλείας.

Δείτε επίσης: FTC: Θα απαγορεύει στην Avast να πουλά δεδομένα περιήγησης για διαφημιστικούς σκοπούς

Avast anti-rootkit

Το κακόβουλο λογισμικό που επηρεάζει το πρόγραμμα driver είναι μια παραλλαγή ενός AV Killer. Έρχεται με μια κωδικοποιημένη λίστα 142 ονομάτων για διαδικασίες ασφαλείας από διάφορους προμηθευτές.

Δεδομένου ότι το πρόγραμμα Avast Anti-Rootkit μπορεί να λειτουργήσει σε επίπεδο πυρήνα, παρέχει πρόσβαση σε κρίσιμα μέρη του λειτουργικού συστήματος και επιτρέπει στο κακόβουλο λογισμικό να τερματίζει τις διαδικασίες.

#secnews #google 

Η Google μηνύει την κυβέρνηση των ΗΠΑ για υπερβολή. Η Google έκανε πρόσφατα ένα βήμα που δεν είχαμε δει εδώ και καιρό, αφού μήνυσε το Γραφείο Οικονομικής Προστασίας των Καταναλωτών των ΗΠΑ (CFPB), αμφισβητώντας πρόσφατη εντολή που εκδόθηκε για την επίβλεψη της πτέρυγας πληρωμών της εταιρείας από την κυβέρνηση. Η Google διαθέτει δύο κύριες υπηρεσίες πληρωμών που προσφέρει — το Google Wallet και το Google Pay. Το τελευταίο χρησιμοποιούσε ένα σύστημα peer-to-peer για πληρωμές και σταμάτησε να λειτουργεί στις ΗΠΑ νωρίτερα φέτος.

00:00 Εισαγωγή
00:25 Δύο υπηρεσίες πληρωμών
01:03 Απόρριψη εντολών
01:38 Επίβλεψη των εργασιών 

Μάθετε περισσότερα: https://www.secnews.gr/634151/google-miniei-kivernisi-ipa-ipervoli/

Follow us:
Facebook:  https://www.facebook.com/SecNews 
Instagram:  https://www.instagram.com/secnews.gr/  
X (Twitter):   https://twitter.com/Secnews_GR
TikTok:    https://www.tiktok.com/@secnewsgr

#secnews #google

Η Google μηνύει την κυβέρνηση των ΗΠΑ για υπερβολή. Η Google έκανε πρόσφατα ένα βήμα που δεν είχαμε δει εδώ και καιρό, αφού μήνυσε το Γραφείο Οικονομικής Προστασίας των Καταναλωτών των ΗΠΑ (CFPB), αμφισβητώντας πρόσφατη εντολή που εκδόθηκε για την επίβλεψη της πτέρυγας πληρωμών της εταιρείας από την κυβέρνηση. Η Google διαθέτει δύο κύριες υπηρεσίες πληρωμών που προσφέρει — το Google Wallet και το Google Pay. Το τελευταίο χρησιμοποιούσε ένα σύστημα peer-to-peer για πληρωμές και σταμάτησε να λειτουργεί στις ΗΠΑ νωρίτερα φέτος.

00:00 Εισαγωγή
00:25 Δύο υπηρεσίες πληρωμών
01:03 Απόρριψη εντολών
01:38 Επίβλεψη των εργασιών

Μάθετε περισσότερα: https://www.secnews.gr/634151/google-miniei-kivernisi-ipa-ipervoli/

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3LnpKVnRDVHZNN2k4

Η Google μηνύει την κυβέρνηση των ΗΠΑ για υπερβολή

SecNewsTV 11 hours ago

Ερευνητές ασφάλειας στην εταιρεία κυβερνοασφάλειας Trellix ανακάλυψαν πρόσφατα μια νέα επίθεση που αξιοποιεί την προσέγγιση «bring-your-own-vulnerable-driver» (BYOVD) με μια παλιά έκδοση του προγράμματος οδήγησης anti-rootkit για να σταματήσει τα προϊόντα ασφαλείας σε ένα στοχευμένο σύστημα.

Εξηγούν ότι ένα κομμάτι ενός κακόβουλου λογισμικού με το όνομα αρχείου kill-floor.exe ρίχνει το ευάλωτο πρόγραμμα driver με το όνομα αρχείου ntfs.bin στον προεπιλεγμένο φάκελο χρήστη των Windows. Στη συνέχεια, το κακόβουλο λογισμικό δημιουργεί την υπηρεσία «aswArPot.sys» χρησιμοποιώντας το Service Control (sc.exe) και καταχωρεί το πρόγραμμα driver.

Δείτε ακόμα: Avast: Εργαλείο αποκρυπτογράφησης για DoNex, Muse, DarkRace ransomware

Στη συνέχεια, το κακόβουλο λογισμικό χρησιμοποιεί μια κωδικοποιημένη λίστα 142 διεργασιών που σχετίζονται με εργαλεία ασφαλείας και την ελέγχει έναντι πολλαπλών στιγμιότυπων ενεργών διεργασιών στο σύστημα.

Ο ερευνητής της Trellix, Trishaan Kalra, λέει ότι όταν βρίσκει κάτι που ταιριάζει, “το κακόβουλο λογισμικό δημιουργεί μια λαβή για αναφορά στο εγκατεστημένο πρόγραμμα οδήγησης Avast“. Στη συνέχεια, αξιοποιεί το API «DeviceIoControl» για να εκδώσει τις απαιτούμενες εντολές IOCTL για τον τερματισμό του.

Με τις άμυνες απενεργοποιημένες, το κακόβουλο λογισμικό μπορεί να εκτελεί κακόβουλες δραστηριότητες χωρίς να ενεργοποιεί ειδοποιήσεις στον χρήστη ή να αποκλειστεί.

Στον τομέα της κυβερνοασφάλειας, ένα κρίσιμο μέλημα είναι η προστασία των συστημάτων από επιθέσεις που εκμεταλλεύονται ευάλωτα driver. Τα προγράμματα driver χρησιμεύουν ως βασικά στοιχεία, διευκολύνοντας την επικοινωνία μεταξύ του λειτουργικού συστήματος και των συσκευών υλικού. Μπορούν ωστόσο, να γίνουν αδύναμα σημεία εάν δεν διαχειρίζονται σωστά ή δεν ενημερώνονται, όπως στην περίπτωση του Avast Anti-Rootkit.

Δείτε επίσης: Σφάλμα στο Mallox Ransomware επιτρέπει στα θύματα να ανακτούν αρχεία χωρίς πληρωμή λύτρων

Για την προστασία από αυτές τις απειλές, είναι ζωτικής σημασίας η εφαρμογή πολλών προστατευτικών μέτρων. Η τακτική ενημέρωση των προγραμμάτων οδήγησης διασφαλίζει ότι τυχόν γνωστά τρωτά σημεία επιδιορθώνονται, μειώνοντας τον κίνδυνο εκμετάλλευσης. Επιπλέον, η ενεργοποίηση του System Guard ή παρόμοιων προστασιών μπορεί να βοηθήσει στην αποτροπή μη εξουσιοδοτημένων αλλαγών σε κρίσιμα μέρη του συστήματος. Η χρήση αξιόπιστου λογισμικού προστασίας από ιούς και η τακτική σάρωση για κακόβουλο λογισμικό μπορεί επίσης να εντοπίσει πιθανές απειλές προτού προκαλέσουν βλάβη. Παραμένοντας ενημερωμένοι για νέα τρωτά σημεία και διατηρώντας μια προληπτική στάση ασφαλείας, οι οργανισμοί μπορούν να μειώσουν σημαντικά την πιθανότητα επιτυχημένων επιθέσεων μέσω ευάλωτων προγραμμάτων οδήγησης.

Πηγή: bleepingcomputer

Absenta Mia
Absenta Miahttps://www.secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS