Utilizatorii Windows sunt din nou susceptibili la atacuri malware.
Vulnerabilitatea șoferului a crescut acum
După cum am raportat deja, la începutul acestei luni, Eclypsium, o firmă de securitate cibernetică, a dezvăluit că majoritatea producătorilor de hardware au un defect care permite malware-ului să câștige privilegii de nucleu la nivel de utilizator..
Căutați cele mai bune instrumente antimalware pentru a bloca amenințările pe Windows 10? Consultați cele mai bune alegeri ale noastre în acest articol.
Aceasta înseamnă că poate avea acces direct la firmware și hardware.
Acum, atacul Control complet care a amenințat furnizorii de BIOS, cum ar fi Intel și NVIDIA, afectează toate versiunile mai noi de Windows, inclusiv 7, 8, 8.1 și Windows 10.
În momentul descoperirii, Microsoft a declarat că amenințarea nu reprezintă un pericol real pentru sistemul său de operare și Windows Defender poate opri orice atac bazat pe defect.
Dar gigantul tehnologic a uitat să menționeze că doar cele mai recente patch-uri Windows oferă protecție. Deci, utilizatorii Windows care nu sunt actualizați sunt susceptibili la atacuri.
Pentru a combate acest lucru, Microsoft dorește să înscrie pe lista neagră orice driver care prezintă vulnerabilitatea prin HVCI (Integritate de cod impusă de Hypervisor), dar acest lucru nu va rezolva problema.
HVCI este acceptat numai pe dispozitivele care rulează 7a CPU Intel Gen sau mai noi. Din nou, utilizatorii care au drivere mai vechi trebuie să dezinstaleze manual driverele afectate sau sunt susceptibile la eroare.
Protejați-vă întotdeauna datele cu o soluție antivirus. Consultați acest articol pentru a găsi cele mai bune disponibile astăzi.
Hackerii folosesc NanoCore RAT pentru a accesa sistemul dumneavoastră
Acum, atacatorii au găsit modalități de a exploata vulnerabilitatea și o versiune actualizată a troianului de acces la distanță (RAT) numit NanoCore RAT se ascunde.
Din fericire, cercetătorii de securitate de la LMNTRX Labs s-au ocupat deja de aceasta și au împărtășit modul în care puteți detecta RAT:
- T1064 - Scripting: Scripturile sunt utilizate în mod obișnuit de administratorii de sistem pentru a efectua sarcini de rutină. Orice execuție anormală a programelor de scriptare legitime, cum ar fi PowerShell sau Wscript, poate semnala un comportament suspect. Verificarea fișierelor Office pentru codul macro poate ajuta, de asemenea, la identificarea scripturilor utilizate de atacatori. Procesele Office, cum ar fi instanțele de reproducere winword.exe de cmd.exe sau aplicațiile de script cum ar fi wscript.exe și powershell.exe, pot indica o activitate dăunătoare.
- T1060 - Chei de rulare a registrului / dosar de pornire: Monitorizarea registrului pentru modificări pentru a rula chei care nu se corelează cu software-ul cunoscut sau cicluri de patch-uri și monitorizarea folderului de pornire pentru adăugiri sau modificări pot ajuta la detectarea malware-ului. Programele suspecte care se execută la pornire pot apărea ca procese anterioare care nu au fost văzute până atunci comparativ cu datele istorice. Soluții precum LMNTRIX Respond, care monitorizează aceste locații importante și lansează alerte pentru orice modificare sau adăugare suspectă, pot ajuta la detectarea acestor comportamente.
- T1193 - Atașament Spearphishing: Sistemele de detectare a intruziunilor în rețea, cum ar fi LMNTRIX Detect, pot fi utilizate pentru a detecta spearphishing-ul cu atașamente rău intenționate în tranzit. În cazul LMNTRIX Detect, camerele de detonare încorporate pot detecta atașamente rău intenționate pe baza comportamentului, mai degrabă decât semnături. Acest lucru este esențial, deoarece detectarea bazată pe semnături deseori nu reușește să protejeze împotriva atacatorilor care își schimbă și își actualizează frecvent sarcinile utile.
Asigurați-vă că vă mențineți în siguranță actualizând toate driverele și Windows-ul dvs. la cele mai recente versiuni disponibile.
Dacă nu știți cum să faceți acest lucru, am pregătit un ghid care vă va ajuta să actualizați orice drivere învechite.