Злонамеренные драйверы, такие как WinTapix.sys и ktgn.sys, представляют серьезную угрозу для кибербезопасности, так как они могут обойти меры безопасности и получить доступ к целевой системе. Эти драйверы, работающие в пределах ядра системы, способны изменять критические механизмы безопасности и выполнять произвольный код с наивысшими привилегиями. Для защиты от этих драйверов Microsoft внедрила механизм Enforce Signature Driver, который гарантирует, что в системе могут быть загружены только подписанные Microsoft драйверы, а также правила блокировки драйверов для защиты от известных уязвимых драйверов.
Кроме того, злонамеренные драйверы часто используются в сочетании с атаками на серверы Exchange со стороны иранских актеров угроз. В одном из таких случаев драйвер WinTapix.sys был настроен для внедрения встроенного шелл-кода в подходящий процесс пользовательского режима, который, в свою очередь, выполнил зашифрованную нагрузку .NET. Драйвер также устанавливал постоянное присутствие за счет модификаций в реестре Windows, что позволяло ему загружаться даже при загрузке машины в безопасном режиме.
Также было замечено, что группа рансомваре ALPHV использует злонамеренный подписанный драйвер, ktgn.sys, для ослабления мер безопасности и незаметного пребывания в течение продолжительного времени. Этот драйвер является обновленной версией POORTRY, который подписан украденным или утеченным кросс-сертификатом.
В заключении, злонамеренные драйверы являются мощным инструментом для актеров угроз, предлагая скрытый способ проникновения глубже в целевые системы и поддержания постоянства. Поэтому важно, чтобы организации предпринимали меры по защите от злонамеренных драйверов, такие как внедрение механизма Enforce Signature Driver и правил блокировки драйверов.
Source: Hackernews
Чтобы смягчить эти потенциальные угрозы, важно внедрить дополнительные меры кибербезопасности с помощью надежного партнера, такого как INFRA www.infrascan.net, или вы можете попробовать сделать это самостоятельно, используя check.website.