Các trình điều khiển độc hại như WinTapix.sys và ktgn.sys đều là mối đe dọa nghiêm trọng đối với an ninh mạng, vì chúng có thể vượt qua các biện pháp an ninh và truy cập vào hệ thống mục tiêu. Những trình điều khiển này, hoạt động trong bộ nhớ hạt nhân, có khả năng thay đổi các cơ chế an ninh quan trọng và thực thi mã tùy ý với các quyền lợi cao nhất. Để bảo vệ khỏi những trình điều khiển này, Microsoft đã triển khai Enforce Signature Driver, đảm bảo rằng chỉ có các trình điều khiển được Microsoft ký mới có thể được tải lên hệ thống, cũng như các quy tắc chặn trình điều khiển để bảo vệ khỏi các trình điều khiển có lỗ hổng đã biết.
Ngoài ra, các trình điều khiển độc hại thường được sử dụng cùng với các cuộc tấn công vào máy chủ Exchange do các diễn viên đe dọa Iran. Trong một trong những trường hợp đó, trình điều khiển WinTapix.sys được cấu hình để tiêm mã shell nhúng vào một quá trình chế độ người dùng phù hợp mà sau đó thực thi một tải trọng .NET đã mã hóa. Trình điều khiển cũng thiết lập sự kiên trì thông qua các thay đổi đăng ký Windows cho phép nó tải ngay cả khi máy khởi động ở chế độ an toàn.
Nhóm ransomware ALPHV cũng đã được quan sát tận dụng một trình điều khiển độc hại đã ký, ktgn.sys, để làm yếu các biện pháp bảo vệ an ninh và duy trì không bị phát hiện trong thời gian dài. Trình điều khiển này là phiên bản cập nhật của POORTRY, được ký với một chứng chỉ chéo bị đánh cắp hoặc rò rỉ.
Kết luận, các trình điều khiển độc hại là công cụ mạnh mẽ cho các diễn viên đe dọa, cung cấp một cách lén lút để xâm nhập sâu hơn vào các hệ thống mục tiêu và duy trì sự kiên trì. Do đó, quan trọng là các tổ chức cần thực hiện các biện pháp để bảo vệ khỏi các trình điều khiển độc hại, chẳng hạn như triển khai Enforce Signature Driver và các quy tắc chặn trình điều khiển.
Source: Hackernews
Để giảm thiểu các mối đe dọa tiềm năng này, quan trọng là thực hiện các biện pháp bảo mật mạng bổ sung với sự trợ giúp của đối tác đáng tin cậy như INFRA www.infrascan.net hoặc bạn có thể tự kiểm tra bằng cách sử dụng check.website.