کمیته رکن چهارم – مهاجمان مرتبط با باجافزارهای Qilin و Warlock از تکنیکی پیشرفته برای غیرفعالسازی ابزارهای امنیتی استفاده میکنند. این روش با بهرهگیری از درایورهای آسیبپذیر، حتی سامانههای دفاعی پیشرفته را هدف قرار میدهد.
به گزارش کمیته رکن چهارم، در حملات Qilin یک فایل DLL مخرب از طریق تکنیک DLL side-loading اجرا شده و زنجیرهای چندمرحلهای برای از کار انداختن ابزارهای امنیتی آغاز میکند. این بدافزار قادر است صدها درایور مرتبط با EDR را غیرفعال کرده و با استفاده از تکنیکهایی مانند حذف لاگهای سیستمی و اجرای کد در حافظه، از شناسایی فرار کند.
در این حملات، مهاجمان با استفاده از درایورهای آسیبپذیر، به سطح kernel دسترسی پیدا کرده و فرآیندهای امنیتی را متوقف میکنند. این رویکرد پیشتر نیز در حملات باجافزاری دیگر مشاهده شده است.
در نمونهای دیگر، گروه Warlock نیز با سوءاستفاده از آسیبپذیریها در سرورهای SharePoint و استفاده از ابزارهای مختلف برای حرکت جانبی و استخراج داده، از همین تکنیک برای تضعیف دفاع سیستمها بهره میبرد.
پیشینه
تکنیک BYOVD به مهاجمان اجازه میدهد با استفاده از درایورهای قانونی اما آسیبپذیر، مکانیزمهای امنیتی را دور بزنند. افزایش استفاده از این روش نشاندهنده تمرکز مهاجمان بر نفوذ به لایههای عمیقتر سیستم و بیاثر کردن ابزارهای دفاعی است.
منبع: The Hacker News
