После майского обновления Windows 10 антивирус, встроенный в операционную систему, получил совершенно оригинальную и потенциально опасную функцию – а именно: возможность загрузки файлов как из локальной сети, так и из Интернета через командную строку.

 

 

После проведения исследования по безопасности данной функции выяснилось, что стало возможным осуществить загрузку файла, который антивирус бы не пропустил – то есть, во встроенном антивирусе не осуществляется проверка загружаемых файлов…

 

Так, эксперт по безопасности (Мохаммад Аскар) таким образом (через функцию загрузки в командной строке «Защитника Windows») смог загрузить «Cobalt Strike» (ПО, предназначенное для тестирования защиты системы).

Изначально программа Cobalt Strike предназначена для проведения тестов на проникновение. В ее состав входит многофункциональный троян Beacon, который является основной «полезной нагрузкой» и предоставляет широкие возможности по удаленному управлению системами. Злоумышленники использовали его для установки в банкоматы программы, которая взаимодействует с их XFS-фреймворком и дает команду выдать наличные.

В 2017 году на российские банки была совершена 21 атака с помощью программы Cobalt Strike, из них 11 оказались успешными. Под удар попало 240 кредитных организаций, из которых преступникам удалось похитить 1,156 млрд рублей.

Программа Cobalt Strike дала название группировке Cobalt, которая известна с 2016 года и специализируется на кибератаках на банки, биржи, страховые компании и инвестиционные фонды с целью кражи денег. Под удар попали также поставщики и контрагенты финансовых организаций: их инфраструктуру и учетные записи реальных сотрудников преступники используют для рассылки фишинговых писем. Такой подход обеспечивал высокий уровень доверия получателей и помогал избежать блокировки системами фильтрации на почтовых серверах.

Кибермошенники использовали не вызывающие подозрений темы писем, содержание и названия вложений: «Порядок определения размера пени», «Счет за обслуживание ваших банкоматов», «Документы на подпись», «Сверка балансов». Рассылаемые письма содержали те или иные вредоносные вложения: документ с эксплойтом (.doc, .rtf, .xls), архив с исполняемым файлом дроппера (.exe, .scr), архив с LNK-файлом.

 

Для того чтобы наличие зловреда в сети не было выявлено сразу, преступники действовали преимущественно в ночное время, подчищали за собой следы, удаляя данные, а также активно используя для внедрения и распространения легальные программы: Ammyy Admin, TeamViewer, Mimikatz, PsExec, SoftPerfect Network Scanner.

 

По информации новостного агентства REGNUM, —  вряд ли разработчики добавили функцию для того, чтобы пользователи ПК таким образом загружали вирусы из сети, однако такая возможность существует и похоже, что её добавили в Windows 10 в момент выхода очередного обновления ОС в июле 2020 года.

 

Также, ИА REGNUM дало информацию, что Microsoft отключила возможность выключения «Защитника Windows». Это изменение также возникло после последнего (в мае 2020 года) обновления Windows 10.

 

Ранее существовала возможность отключить «Защитник Windows» навсегда при внесении изменений в реестр, однако на данное время в Microsoft заявили, что это — «устаревший параметр».

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

GPD ХОСТИНГ КОНТАКТЫ
GPD ХОСТИНГ СОЦ.СЕТИ
МЕТОДЫ ОПЛАТЫ