ГК «Солар»: Хакеры отключают антивирус, чтобы скрыть кибератаку

Эксперты центра исследования киберугроз Solar 4RAYS группа компаний (ГК) «Солар» обнаружили новую кибергруппировку, которая отключает защитные решения при атаках на российские компании. Этот тренд все чаще встречается при расследовании инцидентов, отмечают в Solar 4RAYS. В частности, в атаке на промышленную организацию злоумышленники использовали метод, который позволяет отключить решение любого вендора.

Вредоносный файл в системе заказчика из энергетического сектора был обнаружен в рамках мониторинга центра противодействия кибератакам Solar JSOC. В ходе расследования выяснилось, что злоумышленники проникли в корпоративную сеть через уязвимость в системе удаленного администрирования, которая использовалась без обновлений безопасности. Это позволило им загрузить вредоносный файл в директорию агента администрирования антивирусного решения и в данной атаке отключить антивирус Лаборатории Касперского. Эксперты Solar 4RAYS сообщили вендору об обнаруженной механике, после чего Лаборатория Касперского оперативно усилила механизмы самозащиты своих продуктов и выпустила обновления.

Одной из функций вредоноса было отключение MiniFilter — технологии фильтрации файловой системы в Windows. Компоненты безопасности многих защитных решений используют MiniFilter для сбора информации о файловых операциях, обнаружения аномального поведения и контроля приложений. Эта технология также применяется для защиты самого антивирусного продукта от вмешательства злоумышленников.

В ходе атаки вредоносный драйвер создавал и регистрировал собственный MiniFilter, находил смещение callback‑функции MiniFilter защитного решения и заменял их фиктивной функцией‑заглушкой, тем самым блокируя антивирусу возможность мониторинга системы. После этого