211652_close_icon
views-count13048 դիտում article-date 13:11 23-04-2019

«Կասպերսկի Լաբորատորիա»-ն հայտնաբերել է Windows-ի զրոյական օրվա կրիտիկական խոցելիություն, որը հասցրել են օգտագործել անհայտ չարագործները

«Կասպերսկի Լաբորատորիա»-ն հայտնաբերել է Microsoft Windows-ի օպերացիոն համակարգի նախկինում անհայտ խոցելիություն, որի օգնությամբ չարագործները փորձում են հսկողություն սահմանել վարակված սարքերի նկատմամբ։ Նրանց նպատակը համակարգի միջուկն է, և դրան հասնելու համար նրանք օգտագործում են բեկդոր, որը մշակվել է Windows PowerShell լեգիտիմ բաղադրիչի հիման վրա։ Բեկդորները վնասաբեր ծրագրային ապահովման (ԾԱ) չափազանց վտանգավոր տիպ են, որոնք գրոհողներին թույլ են տալիս թաքուն հեռավար կառավարել սարքը։ Ընդ որում, եթե բեկդորն օգտագործում է նախկինում անհայտ խոցելիությունը (այսպես կոչված՝ զրոյական օրվա խոցելիություն), այն ունի պաշտպանության ստանդարտ մեխանիզմները շրջանցելու էապես ավելի մեծ հնարավորություններ։ Այնուամենայնիվ, «Կասպերսկի Լաբորատորիա»-ի լուծումների՝ էքսպլոյտներից ավտոմատ պաշտպանության տեխնոլոգիան հայտնաբերել է նոր սպառնալիքը։ Ինչպես պարզել են ընկերության փորձագետները, գրոհի սցենարը հետևյալն է. սկզբում սարքում գործարկվում է .exe ֆայլը, իսկ հետո այն տեղադրում է վնասաբեր ԾԱ-ն, որն իր հերթին ներբեռնում է PowerShell-ի հիման վրա գրված հենց այն բեկդորը։ Քանի որ վարակումը տեղի է ունենում զրոյական օրվա խոցելիության օգտագործումով, իսկ վնասաբեր ծրագիրը գործի է դնում լեգիտիմ գործիքներ, գրոհողներն ունենում են վարակված համակարգում ամրապնդվելու և այն աննկատ վերահսկելու բոլոր հնարավորությունները։ «Այս պատմության մեջ մենք տեսնում ենք АРТ-դասի, այսպես կոչված, Advanced Persistent Threats գրոհներին բնորոշ երկու հիմնական միտում։ Առաջինը՝ էքսպլոյտների կիրառումն է համակարգում հաջող ամրապնդման նպատակով լոկալ մեքենայում արտոնությունների մեծացման համար։ Երկրորդը՝ վնասաբեր նպատակներով լեգիտիմ գործիքների, տվյալ դեպքում, PowerShell-ի օգտագործումն է։ Նման մոտեցումը չարագործներին տալիս է պաշտպանության ստանդարտ մեխանիզմները շրջանցելու հնարավորություն։ Նման սպառնալիքներից զերծ պահելու համար պաշտպանական լուծումները պետք է տիրապետեն վարքի վերլուծության և էքսպլոյտների ավտոմատ արգելափակման տեխնոլոգիաների»,- նշում է «Կասպերսկի Լաբորատորիա»-ի բարդ սպառնալիքների հետազոտության և հայտնաբերման բաժնի ղեկավար Անտոն Իվանովը։ «Կասպերսկի Լաբորատորիա»-ի լուծումներն էքսպլոյտը ճանաչում են որպես HEUR:Exploit.Win32.Generic, HEUR:Trojan.Win32.Generic կամ PDM:Exploit.Win32.Generic: Խոցելիության չեզոքացման համար Microsoft ընկերությունը 2019թ. ապրիլի 10-ին թողարկել է համապատասխան թարմացում։ Սպառնալիքի մասին ավելին կարելի է իմանալ այստեղ՝ https://securelist.com/new-win32k-zero-day-cve-2019-0859/90435/։

Նմանատիպ նյութեր