ローンチに関しては、ハッカーは常に革新的です マルウェア攻撃 . 被害者から金銭または機密情報を盗むため。 そして、私たちのコンピューターにはウイルス対策保護がありますが、この攻撃は Windows 完全に倒すことができます Microsoft ソフトウェア保護システム。
実際、今回はそうでした。 基本的に、ハッカーが効果的な方法を見つけたからです 特定の無効化 Windows コンピュータのウイルス対策 これにより、保護されていない PC にあらゆる種類のマルウェアを展開できるようになります。 これに加えて、セキュリティの専門家とマイクロソフトの推奨事項について説明します。
ウイルス対策を無効にするマルウェア
この XNUMX 年間、サイバーセキュリティ企業の AhnLab は セキュリティ そのような攻撃を最大 XNUMX つ発見しました。 これらの中で、彼らは XNUMX つの脆弱性をテストしました。 Sunlogin プログラム 中国で開発されたリモコンソフト。 この問題は、CNVD-2022-10270 と CNVD-2022-03672 という XNUMX つのリモート コード実行の脆弱性が発見されたときに発生します。 このリモート コントロール プログラムで発見されたこれらの脆弱性は、次の場所に存在します。 Sunlogin v11.0.0.33 以前 .
このように、暗号化された PowerShell スクリプトを実装することで実現されます。 保護プログラムを無効にします この場合は、コンピューターで現在有効になっているウイルス対策です。 基本的に、これらの PowerShell スクリプトは、変更されたオープン ソースである移植可能な .NET 実行可能ファイルをなんとかデコードします。 Myprot2DrvControl 脆弱な Windows ドライバを使用してカーネル レベルの権限を取得するプログラム。 基本的に、Mhyprot2DrvControl の開発者は、mhyprot2.sys を介してエスカレートされた権限を使用します。
また、攻撃者が Windows コンピューターでウイルス対策を完全に無効にできるようになると、攻撃者には新しい目的があります。それは、必要なマルウェアをインストールすることです。 個人データ (銀行情報、ユーザー情報など) を盗むため、または被害者をスパイするなどのその他の理由で。 場合によっては、Sliver、Gh0st RAT (リモート アクセス トロイの木馬) などのマルウェアや、 XMRig暗号通貨を採掘する .
BYOVD 手法を使用する
使用されているこの方法は BYOVD (Bring Your Own Device) として知られており、個人のデバイスを使用して会社または仕事のリソースにアクセスするという事実について話す方法です。 これを防ぐために、Microsoft は、Windows 管理者が 脆弱なドライバーのブロックリスト BYOVD 攻撃から保護するため。
そして、私たちはこれを見つけるだけではありません マイクロソフトからの推薦 、しかし、AhnLab Security のサイバーセキュリティの専門家は、Windows PC でこのプログラムを使用している場合、 ソフトウェアをアップデートする これら XNUMX つの脆弱性の悪用を防ぐセキュリティ パッチを適用するには、オペレーティング システムを更新することもお勧めします。 このようにして、これらのハッカーの罠に陥ることを避けることができ、何よりも、この特定のマルウェアに対処する必要がなくなります。
