แฮ็กเกอร์มักจะคิดค้นสิ่งใหม่ ๆ อยู่เสมอเมื่อต้องเปิดตัว การโจมตีของมัลแวร์ . เพื่อขโมยเงินหรือข้อมูลที่ละเอียดอ่อนจากเหยื่อ และถึงแม้ว่าเราจะมีการป้องกันไวรัสในคอมพิวเตอร์ของเรา แต่การโจมตีนี้ Windows สามารถล้มลงได้อย่างสมบูรณ์ ไมโครซอฟท์ ระบบป้องกันซอฟต์แวร์
จริง ๆ ครั้งนี้ก็มาแล้ว โดยพื้นฐานแล้ว เนื่องจากแฮ็กเกอร์ได้ค้นพบวิธีที่มีประสิทธิภาพในการ ปิดการใช้งานบางอย่าง โปรแกรมป้องกันไวรัสบนคอมพิวเตอร์ Windows ซึ่งเป็นการเปิดประตูให้พวกเขาติดตั้งมัลแวร์ทุกชนิดบนพีซีที่ไม่มีการป้องกัน นอกจากนี้ เราจะบอกคุณถึงคำแนะนำของผู้เชี่ยวชาญด้านความปลอดภัยและ Microsoft
มัลแวร์ที่ปิดการใช้งานโปรแกรมป้องกันไวรัส
ในปีที่ผ่านมา AhnLab บริษัทรักษาความปลอดภัยทางไซเบอร์ Security ค้นพบการโจมตีดังกล่าวมากถึงสองครั้ง ในสิ่งเหล่านี้ พวกเขาทดสอบช่องโหว่สองรายการใน โปรแกรมซันล็อกอิน ซอฟต์แวร์ควบคุมระยะไกลที่ได้รับการพัฒนาในประเทศจีน ปัญหาเกิดขึ้นเมื่อพบช่องโหว่การเรียกใช้โค้ดจากระยะไกล 2022 รายการ: CNVD-10270-2022 และ CNVD-03672-XNUMX ช่องโหว่เหล่านี้ซึ่งพบในโปรแกรมควบคุมระยะไกลนี้มีอยู่ใน Sunlogin v11.0.0.33 และรุ่นก่อนหน้า .
ด้วยวิธีนี้ทำได้โดยการใช้สคริปต์ PowerShell ที่เข้ารหัสซึ่ง ปิดใช้งานโปรแกรมป้องกัน ของอุปกรณ์ Windows ในกรณีนี้คือโปรแกรมป้องกันไวรัสที่เปิดใช้งานอยู่ในคอมพิวเตอร์ โดยพื้นฐานแล้ว สคริปต์ PowerShell เหล่านี้จะจัดการเพื่อถอดรหัสโปรแกรมปฏิบัติการ .NET แบบพกพา ซึ่งเป็นโอเพ่นซอร์สที่ได้รับการดัดแปลง Mhyprot2DrvControl โปรแกรมที่ใช้ไดรเวอร์ Windows ที่มีช่องโหว่เพื่อรับสิทธิ์ระดับเคอร์เนล โดยพื้นฐานแล้ว ผู้พัฒนา Mhyprot2DrvControl ใช้สิทธิ์ที่เพิ่มขึ้นผ่าน mhyprot2.sys
นอกจากนี้ เมื่อผู้โจมตีสามารถปิดการใช้งานโปรแกรมป้องกันไวรัสบนคอมพิวเตอร์ที่ใช้ Windows ได้อย่างสมบูรณ์ พวกเขาก็มีเป้าหมายใหม่ นั่นคือการติดตั้งมัลแวร์ใดๆ ก็ตามที่พวกเขาต้องการ ไม่ว่าจะเพื่อขโมยข้อมูลส่วนตัว (ข้อมูลธนาคาร ข้อมูลผู้ใช้…) หรือด้วยเหตุผลอื่นใด เช่น การสอดแนมผู้ที่ตกเป็นเหยื่อ ในโอกาสต่างๆ พวกเขายังติดตั้งมัลแวร์ เช่น Sliver, Gh0st RAT (โทรจันการเข้าถึงระยะไกล) หรือแม้แต่ซอฟต์แวร์ที่ เพื่อขุด XMRig cryptocurrencies .
ใช้เทคนิค BYOVD
วิธีการที่ใช้นี้เรียกว่า BYOVD (Bring Your Own Device) ซึ่งเป็นวิธีการพูดคุยเกี่ยวกับข้อเท็จจริงของการใช้อุปกรณ์ส่วนตัวเพื่อเข้าถึงทรัพยากรของบริษัทหรือที่ทำงานของคุณ เพื่อป้องกันสิ่งนี้ Microsoft ขอแนะนำให้ผู้ดูแลระบบ Windows เปิดใช้งาน รายการบล็อกไดรเวอร์ที่มีช่องโหว่ เพื่อป้องกันการโจมตีจาก BYOVD
และไม่เพียงแต่เราจะพบสิ่งนี้เท่านั้น คำแนะนำจาก Microsoft แต่ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์จาก AhnLab Security ระบุให้เราทราบอย่างชัดเจนว่า หากเราใช้โปรแกรมนี้บนพีซีที่ใช้ Windows เราไม่เพียงต้อง อัปเดตซอฟต์แวร์ เพื่อให้มีแพตช์ความปลอดภัยที่ป้องกันไม่ให้ใช้ประโยชน์จากช่องโหว่ทั้งสองนี้ ขอแนะนำให้อัปเดตระบบปฏิบัติการด้วย ด้วยวิธีนี้ เราจะสามารถหลีกเลี่ยงการตกหลุมพรางของแฮ็กเกอร์เหล่านี้ และเหนือสิ่งอื่นใด เราจะไม่ต้องจัดการกับมัลแวร์ตัวนี้
