گروه باجافزار ALPHV از درایورهای مخرب کرنل ویندوز جهت فرار از شناسایی توسط نرمافزارهای امنیتی در طول حملات خود استفاده میکرد. درایور مشاهده شده توسط Trend Micro نسخه بهبود یافته بدافزاری نام POORTRY است، که مایکروسافت، Mandiant، Sophos و SentinelOne در اواخر سال گذشته در حملات باجافزاری مشاهده کردند. بدافزار POORTRY یک درایور کرنل ویندوز است که با استفاده از کلیدهای سرقتی متعلق بهحسابهای قانونی در برنامه توسعه سختافزار ویندوز مایکروسافت استفاده میکند. این درایور مخرب توسط گروه هک UNC3944، جهت غیرفعال کردن نرمافزار امنیتی در حال اجرا بر روی یک دستگاه ویندوز برای فرار از شناسایی استفاده شد. درحالیکه نرمافزارهای امنیتی معمولا از متوقف شدت یا اعمال دستکاری مخرب محافظت میشوند، زیرا درایورهای کرنل ویندوز با بالاترین اختیارات در سیستم عامل اجرا میشوند، میتوان از آنها برای پایان دادن به تقریبا هر فرآیندی استفاده کرد. مجموعه Trend Micro میگوید که عاملان باجافزار سعی کردند از درایور POORTRY ساینشده توسط مایکروسافت استفاده کنند، اما نرخ شناسایی آن پس از عمومیت یافتن و بعد از لغو کلیدهای ساینینگ، بالا بود. از اینرو، هکرها یک نسخه به روز شده از درایور کرنل POORTRY ساینشده را با استفاده از یک سرتیفیکیت cross-signing به سرقت رفته یا نشت یافته، مستقر کردند.
بدون دیدگاه