Пользователи Windows снова становятся уязвимыми для атак вредоносных программ.
Уязвимость драйвера увеличилась.
Как мы уже сообщил, ранее в этом месяце Компания Eclypsium, занимающаяся кибербезопасностью, обнаружила, что у большинства производителей оборудования есть недостаток, который позволяет вредоносным программам получать привилегии ядра на уровне пользователя.
Ищете лучшие средства защиты от вредоносных программ для блокировки угроз в Windows 10? Ознакомьтесь с нашими лучшими предложениями в этой статье.
Это означает, что он может получить прямой доступ к прошивке и оборудованию.
Теперь атака Complete Control, которая угрожает производителям BIOS, таким как Intel и NVIDIA, затрагивает все новые версии Windows, включая 7, 8, 8.1 и Windows 10.
На момент обнаружения Microsoft заявила, что угроза не представляет реальной опасности для ее ОС и Защитник Windows может остановить любую атаку, основанную на уязвимости.
Но технический гигант забыл упомянуть, что только последние исправления Windows обеспечивают защиту. Таким образом, пользователи Windows, у которых не установлена последняя версия, уязвимы для атак.
Чтобы бороться с этим, Microsoft хочет внести в черный список все драйверы, которые представляют уязвимость через HVCI (целостность кода, обеспечиваемая гипервизором), но это не решит проблему для всех.
HVCI поддерживается только на устройствах под управлением 7th Процессоры Intel поколения или новее. Опять же, пользователи, у которых установлены более старые драйверы, должны удалить затронутые драйверы вручную, иначе они подвержены сбоям.
Всегда защищайте свои данные с помощью антивирусного решения. Прочтите эту статью, чтобы найти лучшие из доступных на сегодняшний день.
Хакеры используют NanoCore RAT для доступа к вашей системе
Теперь злоумышленники нашли способы использовать уязвимость и обновили версию Троян удаленного доступа (RAT) под названием NanoCore RAT прячется.
К счастью, исследователи безопасности в LMNTRX Labs уже занимались этим и общий как вы можете обнаружить RAT:
- T1064 - Скрипты: Сценарии обычно используются системными администраторами для выполнения рутинных задач. Любое аномальное выполнение законных программ-сценариев, таких как PowerShell или Wscript, может сигнализировать о подозрительном поведении. Проверка офисных файлов на наличие макрокода также может помочь определить сценарии, используемые злоумышленниками. Процессы Office, такие как winword.exe, порождающие экземпляры cmd.exe, или приложения-скрипты, такие как wscript.exe и powershell.exe, могут указывать на вредоносную активность.
- T1060 - ключи запуска реестра / папка запуска: Мониторинг реестра для изменений ключей запуска, которые не коррелируют с известным программным обеспечением или циклами исправлений, а также мониторинг начальной папки на предмет дополнений или изменений, может помочь обнаружить вредоносное ПО. Подозрительные программы, запускаемые при запуске, могут отображаться как выбросы, которые ранее не наблюдались при сравнении с историческими данными. Такие решения, как LMNTRIX Respond, который отслеживает эти важные места и выдает предупреждения о любых подозрительных изменениях или дополнениях, могут помочь обнаружить такое поведение.
- T1193 - Приставка Spearphishing: Системы обнаружения сетевых вторжений, такие как LMNTRIX Detect, могут использоваться для обнаружения целевого фишинга с вредоносными вложениями в пути. В случае LMNTRIX Detect встроенные камеры детонации могут обнаруживать вредоносные вложения на основе поведения, а не сигнатур. Это очень важно, поскольку обнаружение на основе сигнатур часто не защищает от злоумышленников, которые часто изменяют и обновляют свои полезные данные.
Обязательно обновите все драйверы и Windows до последней доступной версии.
Если вы не знаете, как это сделать, мы подготовили Руководство это поможет вам обновить любые устаревшие драйверы.
ЧИТАЙТЕ ТАКЖЕ:
- Кампания по борьбе с вредоносными программами TrickBot после ваших паролей в Office 365
- Microsoft предупреждает, что кампания по вредоносному ПО Astaroth преследует ваши учетные данные
- Хакеры используют старое вредоносное ПО в новой упаковке для атак на ПК с Windows 10
