Программа-вымогатель AvosLocker перезагружается в безопасном режиме, чтобы обойти инструменты безопасности

5
Новый скрытый вариант вредоносной программы BotenaGo нацелен на устройства DVR.

В ходе недавних атак банда программ-вымогателей AvosLocker сосредоточилась на отключении стоящих у них на пути решений безопасности конечных точек, перезагружая скомпрометированные системы в безопасном режиме Windows.

Эта тактика упрощает шифрование файлов жертв, поскольку большинство решений безопасности автоматически отключается после загрузки устройств Windows в безопасном режиме.

И их новый подход оказался весьма эффективным, поскольку количество атак, приписываемых конкретной группе, растет.

Шифрование в «безопасном режиме»

Согласно отчету главного исследователя SophosLabs Эндрю Брандта, операторы AvosLocker используют PDQ Deploy, законный инструмент развертывания для автоматизации управления исправлениями, чтобы разместить несколько пакетных сценариев Windows на целевой машине, что помогает им подготовить почву для атаки .

Эти сценарии изменяют или удаляют ключи реестра, принадлежащие определенным инструментам безопасности конечных точек, включая Защитник Windows и продукты от Kaspersky, Carbon Black, Trend Micro, Symantec, Bitdefender и Cylance.

Сценарии также создают новую учетную запись пользователя на скомпрометированной машине, называя ее «newadmin» и добавляя ее в группу пользователей «Администраторы».

Затем они настраивают эту учетную запись для автоматического входа в систему при перезагрузке системы в безопасном режиме с подключением к сети и отключают разделы реестра диалогового окна «Правовое уведомление», которые могут помешать автоматическому входу.

Наконец, скрипты выполняют команду перезагрузки, которая переводит компьютер в безопасный режим. Когда он снова заработает, полезная нагрузка программы-вымогателя запускается из местоположения контроллера домена.

Если автоматический процесс выполнения полезной нагрузки завершается неудачно, субъект может взять на себя ручное управление процедурой с помощью инструмента удаленного доступа AnyDesk.

«Предпоследним шагом в процессе заражения является создание ключа« RunOnce »в реестре, который безфайлово выполняет полезную нагрузку вымогателя, откуда злоумышленники поместили ее на контроллер домена», — объясняет Брандт.

«Это похоже на то, что мы видели, как IcedID и другие программы-вымогатели делают в качестве метода выполнения полезных нагрузок вредоносных программ, не позволяя файлам когда-либо касаться файловой системы зараженного компьютера».

Безопасный режим, используемый для простого обхода безопасности конечных точек

Этот же метод выполнения в безопасном режиме ранее использовался другими группами программ-вымогателей, включая REvil (также с автоматическим входом в систему), BlackMatter и Snatch, так что это явно пробел в безопасности, который необходимо устранить.

Вся идея перевода машины в безопасный режим заключается в том, чтобы отключить все работающие инструменты безопасности, поскольку большинство решений для защиты конечных точек не работают в этом режиме.

Благодаря этому простому, но эффективному приему даже адекватно защищенные машины могут стать беззащитными от цепочек выполнения программ-вымогателей.

Чтобы избежать появления произвольных команд перезагрузки на ваших машинах, убедитесь, что ваши инструменты безопасности могут обнаруживать и предотвращать добавление подозрительных ключей реестра.

Эта возможность может помешать законному доступу к реестру, но она стоит дополнительных проблем для администраторов.

Как подчеркивает Sophos в своем отчете, ни одно предупреждение не должно рассматриваться как «низкоприоритетное», поскольку небольшая и, казалось бы, безобидная вещь может быть ключевым звеном в цепочке выполнения программ-вымогателей.

Последнее обновление 8 месяцев назад — GameZoom

0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии