משתמשי Windows רגישים שוב להתקפות זדוניות.
פגיעות הנהג הסלימה כעת
כפי שאנו כבר דיווח, מוקדם יותר החודש חברת Eclypsium, חברת אבטחת סייבר, חשפה כי לרוב יצרני החומרה יש פגם המאפשר לתוכנות זדוניות להשיג הרשאות ליבה ברמת המשתמש.
מחפש את הכלים הטובים ביותר נגד תוכנות זדוניות לחסימת איומים ב- Windows 10? בדוק את הבחירות הטובות ביותר שלנו במאמר זה.
פירוש הדבר שהוא יכול לקבל גישה ישירה לקושחה ולחומרה.
כעת, מתקפת השליטה המלאה שאיימה על ספקי BIOS כמו אינטל ו- NVIDIA משפיעה על כל הגרסאות החדשות יותר של Windows, כולל 7, 8, 8.1 ו- Windows 10.
ברגע הגילוי, מיקרוסופט הצהירה כי האיום אינו מהווה סכנה ממשית עבור מערכת ההפעלה שלה ו Windows Defender יכול לעצור כל התקפה על בסיס הפגם.
אבל ענקית הטכנולוגיה שכחה לציין שרק תיקוני Windows האחרונים מציעים הגנה. לכן, משתמשי Windows שאינם מעודכנים רגישים להתקפות.
כדי להילחם בכך, מיקרוסופט רוצה לרשום שחור על כל הנהגים שמציגים את הפגיעות באמצעותם HVCI (Integrity Code enforced Code Integrity), אך זה לא יפתור את הבעיה עבור כולם.
HVCI נתמך רק במכשירים המריצים 7ה מעבדי דור אינטל ומעלה. שוב, משתמשים שיש להם נהגים ישנים יותר צריכים להסיר את מנהלי ההתקנים המושפעים ידנית או שהם רגישים לתקלה.
הגן תמיד על הנתונים שלך באמצעות פתרון אנטי-וירוס. עיין במאמר זה כדי למצוא את הטובים ביותר שיש כיום.
האקרים משתמשים NanoCore RAT כדי לקבל גישה למערכת שלך
כעת, תוקפים מצאו דרכים לנצל את הפגיעות ואת הגרסה המעודכנת של טרויאני לגישה מרחוק (RAT) שנקרא NanoCore RAT מסתתר.
לְמַרְבֶּה הַמַזָל, חוקרי אבטחה במעבדות LMNTRX כבר התמודדו עם זה ו- מְשׁוּתָף כיצד ניתן לזהות את ה- RAT:
- T1064 - סקריפטים: מנהלי מערכות משתמשים בדרך כלל בסקריפטים לביצוע משימות שגרתיות. כל ביצוע חריג של תוכניות סקריפט לגיטימיות, כגון PowerShell או Wscript, יכול לאותת על התנהגות חשודה. בדיקת קובצי מאקרו בקבצי משרד יכולה גם לסייע בזיהוי סקריפטים המשמשים את התוקפים. תהליכי Office, כגון מופעי שרצים winword.exe של cmd.exe, או יישומי סקריפט כמו wscript.exe ו- powershell.exe, עשויים להצביע על פעילות זדונית.
- T1060 - מפתחות הפעלת רישום / תיקיית הפעלה: רישום מעקב אחר שינויים בהפעלת מפתחות שאינם מתואמים לתוכנות או מחזורי תיקון ידועים, ומעקב אחר תיקיית ההתחלה אחר תוספות או שינויים, יכול לסייע בזיהוי תוכנות זדוניות. תוכניות חשודות המבוצעות בעת ההפעלה עשויות להופיע כתהליכים יוצאי דופן שלא נראו בעבר בהשוואה לנתונים היסטוריים. פתרונות כמו LMNTRIX Respond, העוקבים אחר המיקומים החשובים הללו ומעלים התראות לכל שינוי או הוספה חשודים, יכולים לסייע באיתור התנהגויות אלה.
- T1193 - קובץ מצורף לדיג ספירפי: ניתן להשתמש במערכות זיהוי חדירת רשת, כגון LMNTRIX Detect, לאיתור זיפי זיוף עם קבצים מצורפים זדוניים במעבר. במקרה של LMNTRIX Detect, תאי פיצוץ מובנים יכולים לזהות קבצים מצורפים זדוניים על סמך התנהגות, ולא על חתימות. זה קריטי מכיוון שזיהוי מבוסס חתימה לרוב אינו מצליח להגן מפני תוקפים שמשנים לעדכן את עומסי התשלום שלהם לעתים קרובות.
הקפד לשמור על בטיחותך על ידי עדכון כל מנהלי ההתקנים שלך ו- Windows שלך לעדכונים הזמינים.
אם אינך יודע כיצד לעשות זאת, התכוננו מדריך שיעזור לך לעדכן את מנהלי ההתקן המיושנים.
קרא גם:
- קמפיין תוכנות זדוניות TrickBot עוקב אחר סיסמאות Office 365 שלך
- מיקרוסופט מזהירה שקמפיין תוכנה זדוני של Astaroth עוקב אחר אישוריך
- האקרים משתמשים בתוכנות זדוניות ישנות באריזה חדשה כדי לתקוף מחשבי Windows 10
