Uporabniki sistema Windows so ponovno dovzetni za napade zlonamerne programske opreme.
Ranljivost gonilnikov se je stopnjevala
Kot mi že prijavljeno, v začetku tega meseca Eclypsium, podjetje za kibernetsko varnost, je razkrilo, da ima večina proizvajalcev strojne opreme napako, ki zlonamerni programski opremi omogoča pridobitev privilegijev jedra na uporabniški ravni.
Iščete najboljša orodja za zaščito pred škodljivo programsko opremo za blokiranje groženj v sistemu Windows 10? Oglejte si naše najboljše izbire v tem članku.
To pomeni, da lahko dobi neposreden dostop do vdelane in strojne opreme.
Zdaj napad popolnega nadzora, ki je ogrozil prodajalce BIOS-a, kot sta Intel in NVIDIA, vpliva na vse novejše različice sistema Windows, vključno s sistemoma 7, 8, 8.1 in Windows 10.
Ob odkritju je Microsoft izjavil, da grožnja ni resnična nevarnost za njegov operacijski sistem in Windows Defender lahko ustavi vsak napad na podlagi napake.
Toda tehnološki velikan je pozabil omeniti, da samo najnovejši popravki sistema Windows nudijo zaščito. Uporabniki sistema Windows, ki niso posodobljeni, so dovzetni za napade.
Za boj proti temu želi Microsoft uvrstiti na črni seznam vse gonilnike, ki predstavljajo ranljivost HVCI (integriteta kode, ki jo izvaja hipervizor), vendar to ne bo rešilo težave za vse.
HVCI je podprt samo v napravah s 7th CPU Intel generacije ali novejši. Uporabniki, ki imajo starejše gonilnike, morajo prizadete gonilnike odstraniti ročno ali pa so dovzetni za napako.
Svoje podatke vedno zaščitite s protivirusno rešitvijo. Oglejte si ta članek in poiščite najboljše, ki so danes na voljo.
Hekerji uporabljajo NanoCore RAT za dostop do vašega sistema
Zdaj so napadalci našli načine za izkoriščanje ranljivosti in posodobljeno različico Trojanec za oddaljeni dostop (RAT), imenovan NanoCore RAT, se skriva naokoli.
Na srečo varnostni raziskovalci v laboratorijih LMNTRX so se z njo že ukvarjali in v skupni rabi kako lahko zaznate RAT:
- T1064 - Skriptiranje: Skriptiranje pogosto uporabljajo sistemski skrbniki za izvajanje rutinskih nalog. Vsako nenavadno izvajanje zakonitih skriptnih programov, kot sta PowerShell ali Wscript, lahko kaže na sumljivo vedenje. Preverjanje pisarniških datotek za makro kodo lahko pomaga tudi pri prepoznavanju skript, ki jih uporabljajo napadalci. Pisarniški procesi, kot so primerki drsti winword.exe cmd.exe, ali skriptne aplikacije, kot sta wscript.exe in powershell.exe, lahko kažejo na zlonamerno dejavnost.
- T1060 - Ključi za zagon registra / mapa za zagon: Spremljanje registra zaradi sprememb za zagon ključev, ki niso v korelaciji z znano programsko opremo ali cikli popravkov, in spremljanje začetne mape za dodatke ali spremembe lahko pomaga pri odkrivanju zlonamerne programske opreme. Sumljivi programi, ki se izvajajo ob zagonu, se lahko prikažejo kot odstopajoči procesi, ki jih doslej še nismo videli v primerjavi s preteklimi podatki. Rešitve, kot je LMNTRIX Respond, ki nadzira ta pomembna mesta in opozarja na sumljive spremembe ali dodatke, lahko pomagajo odkriti to vedenje.
- T1193 - Nastavek za podvodni ribolov: Sistemi za zaznavanje vdorov v omrežje, kot je LMNTRIX Detect, se lahko uporabljajo za odkrivanje podvodnega ribolova z zlonamernimi prilogami med prenosom. V primeru LMNTRIX Detect lahko vgrajene detonacijske komore zaznajo zlonamerne priloge na podlagi vedenja in ne podpisov. To je ključnega pomena, saj zaznavanje na podlagi podpisov pogosto ne uspe zaščititi pred napadalci, ki pogosto spreminjajo in posodabljajo svoj tovor.
Bodite prepričani, da ostanete na varnem, tako da posodobite vse gonilnike in Windows na najnovejše razpoložljive.
Če tega ne veste, smo pripravili vodnik ki vam bo pomagal posodobiti zastarele gonilnike.
PREBERITE TUDI:
- Kampanja za zlonamerno programsko opremo TrickBot je po vaših geslih za Office 365
- Microsoft opozarja, da je kampanja za zlonamerno programsko opremo Astaroth po vaših poverilnicah
- Hekerji uporabljajo staro zlonamerno programsko opremo v novi embalaži za napad na računalnike s sistemom Windows 10
