Windows-brukere er igjen utsatt for angrep på skadelig programvare.
Førersårbarheten har nå eskalert
Som vi allerede rapportert, tidligere denne måneden Eclypsium, et cybersikkerhetsfirma, avslørte at de fleste maskinvareprodusenter har en feil som gjør at malware kan få kjerneprivilegier på brukernivå.
Leter du etter de beste verktøyene for antimalware for å blokkere trusler på Windows 10? Sjekk ut våre beste valg i denne artikkelen.
Dette betyr at den kan få direkte tilgang til firmware og maskinvare.
Nå påvirker Complete Control-angrepet som truet BIOS-leverandører som Intel og NVIDIA alle nyere versjoner av Windows, inkludert 7, 8, 8.1 og Windows 10.
I øyeblikket av oppdagelsen uttalte Microsoft at trusselen ikke er en reell fare for operativsystemet og Windows Defender kan stoppe ethvert angrep basert på feilen.
Men teknologigiganten glemte å nevne at bare de nyeste Windows-oppdateringene gir beskyttelse. Så Windows-brukere som ikke er oppdatert er utsatt for angrep.
For å bekjempe det, ønsker Microsoft å svarteliste drivere som presenterer sårbarheten gjennom
HVCI (Hypervisor-enforced Code Integrity), men dette løser ikke problemet for alle.HVCI støttes bare på enheter som kjører 7th Gen Intel-prosessorer eller nyere. Igjen må brukere som har eldre drivere avinstallere de berørte driverne manuelt, ellers er de utsatt for feilen.
Beskytt alltid dataene dine med en antivirusløsning. Sjekk ut denne artikkelen for å finne de beste tilgjengelige i dag.
Hackere bruker NanoCore RAT for å få tilgang til systemet ditt
Nå har angripere funnet måter å utnytte sårbarheten og en oppdatert versjon av Remote Access Trojan (RAT) kalt NanoCore RAT lurer rundt.
Heldigvis, sikkerhetsforskere ved LMNTRX Labs har allerede behandlet det og delt hvordan du kan oppdage RAT:
- T1064 - Skript: Skripting brukes ofte av systemadministratorer for å utføre rutinemessige oppgaver. Enhver unormal utførelse av legitime skriptprogrammer, for eksempel PowerShell eller Wscript, kan signalisere mistenkelig oppførsel. Ved å sjekke kontorfiler for makrokode kan det også være med å identifisere skript som brukes av angripere. Office-prosesser, for eksempel winword.exe, gyteforekomster av cmd.exe, eller skriptapplikasjoner som wscript.exe og powershell.exe, kan indikere skadelig aktivitet.
- T1060 - Registry Run Keys / Startup Folder: Overvåkingsregister for endringer for å kjøre nøkler som ikke korrelerer med kjent programvare eller oppdateringssyklus, og overvåking av startmappen for tillegg eller endringer, kan bidra til å oppdage skadelig programvare. Mistenkelige programmer som kjøres ved oppstart, kan dukke opp som avvikende prosesser som ikke har blitt sett før sammenlignet med historiske data. Løsninger som LMNTRIX Respond, som overvåker disse viktige stedene og gir varsler for mistenkelig endring eller tillegg, kan bidra til å oppdage denne oppførselen.
- T1193 - Spearphishing-vedlegg: Network Intrusion Detection systems, for eksempel LMNTRIX Detect, kan brukes til å oppdage spearphishing med ondsinnede vedlegg under transport. I tilfellet med LMNTRIX Detect kan innebygde detonasjonskamre oppdage ondsinnede vedlegg basert på oppførsel, snarere enn signaturer. Dette er kritisk ettersom signaturbasert gjenkjenning ofte ikke beskytter mot angripere som ofte endrer og oppdaterer nyttelastene sine.
Sørg for å være trygg ved å oppdatere alle driverne og Windows til det siste tilgjengelige.
Hvis du ikke vet hvordan du gjør det, har vi forberedt oss en guide som vil hjelpe deg med å oppdatere utdaterte drivere.
LES OGSÅ:
- TrickBot malware-kampanje er etter Office 365-passordene dine
- Microsoft advarer Astaroth malware-kampanje etter legitimasjonen din
- Hackere bruker gammel skadelig programvare i ny emballasje for å angripe Windows 10-PCer
