Как стать автором
Обновить

Комментарии 8

а я думал, что смешнее чем вирусы, устанавливающие Office, чтобы воспользоваться его уязвимостями, не будет.

Вирусы, устанавливающие нужную версию антивируса? Один как минимум помнится был такой

Microsoft говорит, что в Windows 10 pro атака блокируется "из коробки"


HVCI ещё должен быть включён, чего не происходит по умолчанию, если процессор старее Kaby Lake. Вдобавок, его включение приводит к автоматическому запуску Hyper-V со всеми вытекающими посдедствиями для сторонних гипервизоров.

«Сначала злоумышленники проникают в сеть компании и устанавливают легальный драйвер ядра Gigabyte GDRV.SYS.» — зачем все эти пляски с драйверами, если злоумышленники уже получили доступ к сети и доступ к конкретной машине, позволяющий установить драйвера? Неужели этого доступе не достаточно для отключения всех этих защитный механизмов и запуска шифровальщика?

Полагаю причина в том, что нужно отключить проверку загрузки драйверов. Без перезагрузки такие подпрыгивания не сделать, что как минимум палевно и долго, да ещё и надпись появится "тестовый режим".


Получается что нужно как-то попасть к ядру ОС и там намутить всякого без перезагрузки. Единственный известный мне способ достучаться до ядра — это запустить код в режиме ядра, а это значит нужно загрузить свой драйвер. Но как его загрузить, если он не подписан? Правильно — грузим уязвимый подписанный драйвер.


Вообще вроде есть способы выдать возможность пользователю устанавливать драйвера, но не выдать ему прав отключить тот же антивирус. Я не админ, так что тут вопрос к более компетентным людям.

напоминает давнишний прикол с антивирусом Касперского, который очень обижался, когда хитрый пользователь отматывал время назад, чтобы не продлевать платную лицензию. И принудительно отключал антивирусный мониторинг. Чем стали пользоваться вирусы, первым делом переводя время назад, и только после отключения антивируса начинали заниматься своими делами. Пофиксили естественно, когда узнали про такое, (стали отключать только обновление баз), но сам факт.

Опомнились)))
на тематических форумах уже несколько лет ходят списки драйверов с уязвимостями через которые можно пролезьть в Ring0

А отзывать эти сертификаты нельзя — завалится куча устройств где подписаные этим сертом драйвера используются вполне легально.
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.