Потребителите на Windows отново са податливи на атаки на зловреден софтуер.
Сега уязвимостта на драйвера ескалира
Тъй като ние вече докладвано, по-рано този месец Eclypsium, фирма за киберсигурност, разкри, че повечето производители на хардуер имат недостатък, който позволява на зловредния софтуер да получи привилегии на ядрото на ниво потребител.
Търсите най-добрите антималуерни инструменти за блокиране на заплахи в Windows 10? Вижте нашите най-добри снимки в тази статия.
Това означава, че може да получи директен достъп до фърмуер и хардуер.
Сега атаката за пълен контрол, която заплашва доставчици на BIOS като Intel и NVIDIA, засяга всички по-нови версии на Windows, включително 7, 8, 8.1 и Windows 10.
В момента на откритието Microsoft заяви, че заплахата не представлява реална опасност за нейната операционна система и Windows Defender може да спре всяка атака въз основа на недостатъка.
Но технологичният гигант забрави да спомене, че само най-новите корекции на Windows предлагат защита. Така че потребителите на Windows, които не са актуални, са податливи на атаки.
За да се пребори с това, Microsoft иска да включи в черния списък всички драйвери, които представят уязвимостта чрез HVCI (Наложена от Hypervisor целостта на кода), но това няма да реши проблема за всички.
HVCI се поддържа само на устройства с 7ти Процесори от първо поколение Intel или по-нови. Отново, потребителите, които имат по-стари драйвери, трябва да деинсталират засегнатите драйвери ръчно или са податливи на грешка.
Винаги защитавайте данните си с антивирусно решение. Вижте тази статия, за да намерите най-добрите, налични днес.
Хакери използват NanoCore RAT, за да получите достъп до вашата система
Сега нападателите са намерили начини да използват уязвимостта и актуализирана версия на Троянец за отдалечен достъп (RAT), наречен NanoCore RAT, дебне наоколо.
За щастие, изследователите по сигурността в LMNTRX Labs вече са се справили с него и споделени как можете да откриете ПЛЪХА:
- T1064 - Сценарии: Скриптовете често се използват от системните администратори за изпълнение на рутинни задачи. Всяко аномално изпълнение на законни програми за скриптове, като PowerShell или Wscript, може да сигнализира за подозрително поведение. Проверката на офис файлове за макро код също може да помогне за идентифициране на скриптове, използвани от нападателите. Офис процесите, като например winword.exe, хвърлящи хайвера на cmd.exe, или скрипт приложения като wscript.exe и powershell.exe, може да показват злонамерена дейност.
- T1060 - Ключове за стартиране на системния регистър / папка за стартиране: Мониторингът на системния регистър за промени за стартиране на ключове, които не корелират с известния цикъл на софтуер или корекция, и наблюдението на стартовата папка за добавки или промени може да помогне за откриване на злонамерен софтуер. Подозрителните програми, изпълняващи се при стартиране, могат да се покажат като по-отдалечени процеси, които не са били виждани преди, в сравнение с исторически данни. Решения като LMNTRIX Respond, който наблюдава тези важни местоположения и извежда предупреждения за всяка подозрителна промяна или добавяне, могат да помогнат за откриване на това поведение.
- T1193 - Приставка за подводно фишинг: Системи за откриване на проникване в мрежа, като LMNTRIX Detect, могат да се използват за откриване на подводен фишинг със злонамерени прикачени файлове при преминаване. В случая на LMNTRIX Detect вградените детонационни камери могат да откриват злонамерени прикачени файлове въз основа на поведение, а не на подписи. Това е от решаващо значение, тъй като откриването, основано на подпис, често не успява да защити срещу хакери, които често променят и актуализират своите полезни товари.
Не забравяйте да сте в безопасност, като актуализирате всичките си драйвери и вашия Windows до най-новите налични.
Ако не знаете как да направите това, ние сме подготвили Наръчник което ще ви помогне да актуализирате всички остарели драйвери.
ПРОЧЕТЕТЕ СЪЩО:
- Кампанията за зловреден софтуер TrickBot е след вашите пароли за Office 365
- Microsoft предупреждава, че кампанията за злонамерен софтуер Astaroth е след вашите идентификационни данни
- Хакерите използват стария зловреден софтуер в нова опаковка, за да атакуват компютри с Windows 10
