Сајбер нападите кои користат ранливи драјвери се познати како BYOVD („Донесете го вашиот ранлив драјвер“). Тие им овозможуваат на напаѓачите да се обидат да ги исклучат безбедносните решенија на системот и да ги ескалираат привилегиите, овозможувајќи им да спроведуваат различни злонамерни активности како што се инсталирање на рансомвер или воспоставување можности за шпионажа или саботажа, особено ако зад нападот стои група за напредни трајни закани (APT).
Компанијата Kaspersky известува дека оваа техника на напад почесто се користела во 2023 година и дека моментално добива замав. Во вториот квартал од 2024 година, бројот на системи нападнати со техниката BYOVD се зголемил за скоро 23% во однос на претходниот квартал, објави компанијата Kaspersky.
Динамика на напади кои користат ранливи драјвери
„Иако самите драјвери се легитимни, тие можат да бидат ранливи. Овие ранливости потоа можат да се злоупотребат. Напаѓачите користат различни алатки и методи за да инсталираат ранлив драјвер на системот. Кога оперативниот систем ќе го вчита овој драјвер, напаѓачот може да го искористи за да ги заобиколи безбедносните граници на јадрото на оперативниот систем за свои цели,“ објаснува Владимир Кусков, раководител на истражувања против малициозни програми во компанијата Kaspersky.
Еден загрижувачки аспект на овој тренд е пролиферацијата на алатки кои ги искористуваат ранливите драјвери – тие можат да се најдат на интернет. Иако во 2024 година постои релативно мал број на овие алатки – само 24 проекти се објавени од 2021 година – експертите од компанијата Kaspersky забележале зголемување на бројот на овие алатки кои се објавени на интернет минатата година. „Иако навистина ништо не ги спречува заканувачите да развијат сопствени приватни алатки, јавно достапните алатки ги прават специфичните вештини потребни за истражување и искористување на ранливи драјвери непотребни. Само во 2023 година, идентификувавме околу 16 нови алатки од овој тип, што е значително зголемување во однос на само една или две кои ги забележавме претходните години. Имајќи го предвид овој пораст, се препорачува да се применат робусни заштитни мерки за секој систем,“ објаснува Владимир Кусков.
Извор: Freepik
За сузбивање на заканите поврзани со експлоатација на ранливи драјвери можат да се користат следниве мерки:
- Темелно разбирање на инфраструктурата и внимателно следење на нејзината содржина со фокус на периметарот.
- За да ја заштитите компанијата од широк спектар на закани, користете решенија од линијата Kaspersky Next која обезбедува заштита во реално време, видливост на закани, можност за истрага и EDR и XDR одговор за организации од која било големина и дејност, како и системи за заштита од злоупотреба на ранливи драјвери.
- Имплементирајте процес на управување со печови за да го откриете ранливиот софтвер во инфраструктурата и брзо да инсталирате безбедносни печови. Решенијата како што се Kaspersky Endpoint Security и Kaspersky Vulnerability Data Feed можат да помогнат во тој поглед.
- Редовно спроведувајте безбедносни проценки за да ги идентификувате и поправите слабите точки пред да станат влезна точка за напаѓач.
Доколку сакате да прочитате повеќе за ризиците и експлоатацијата на заканите во вториот квартал од 2024 година, посетете го Securelist. За потемелно разбирање на сајбер заканите кои постојано се развиваат и за корисно мрежно поврзување, приклучете се на Самитот на аналитичари за безбедност (SAS) на компанијата Kaspersky, кој ќе се одржи по шеснаесетти пат од 22 до 25 октомври 2024 година на Бали.
