{"id":4425,"date":"2023-07-19T11:02:25","date_gmt":"2023-07-19T10:02:25","guid":{"rendered":"https:\/\/soc.dag.pl\/?p=4425"},"modified":"2023-08-30T16:31:06","modified_gmt":"2023-08-30T15:31:06","slug":"kiedy-wystawiasz-sie-do-ataku-zobacz-jak-dziala-metoda-byovd","status":"publish","type":"post","link":"https:\/\/soc.dag.pl\/kiedy-wystawiasz-sie-do-ataku-zobacz-jak-dziala-metoda-byovd\/","title":{"rendered":"Kiedy wystawiasz si\u0119 do ataku? Zobacz, jak dzia\u0142a metoda BYOVD"},"content":{"rendered":"

Wed\u0142ug specjalist\u00f3w AhnLab, na pocz\u0105tku 2022 r. grupa hakerska Lazarus przeprowadzi\u0142a ataki APT (Advanced Persistent Threat) na korea\u0144ski przemys\u0142 obronny, finansowy, medialny i farmaceutyczny.\u00a0AhnLab uwa\u017cnie \u015bledzi\u0142 te ataki i odkry\u0142, \u017ce parali\u017cuj\u0105 one produkty odpowiedzialne za bezpiecze\u0144stwo w procesie ataku. Analiza procesu ataku ujawni\u0142a, \u017ce Grupa Lazarus wykorzystuje star\u0105 wersj\u0119 procesu INITECH do przeprowadzenia wst\u0119pnego przej\u0119cia przed pobraniem i wykonaniem z\u0142o\u015bliwego oprogramowania rootkit z serwera atakuj\u0105cego.<\/p>\n

 <\/p>\n

Z\u0142o\u015bliwy rootkit zidentyfikowany w ostatnim ataku blokuj\u0105cym produkt nadu\u017cywa\u0142 podatnych modu\u0142\u00f3w sterownika j\u0105dra do bezpo\u015bredniego odczytu i zapisu w obszarze pami\u0119ci j\u0105dra, przez co wszystkie systemy monitoruj\u0105ce wewn\u0105trz systemu, w tym AV (Anti-Virus) by\u0142y wy\u0142\u0105czone.<\/p>\n

Technika ta jest nazywana metod\u0105 “BYOVD (Bring Your Own Vulnerable Driver)” i cechuje si\u0119 tym, \u017ce jest wykonywana g\u0142\u00f3wnie na podatnych modu\u0142ach sterownik\u00f3w firm dostarczaj\u0105cych sprz\u0119t. W najnowszym systemie operacyjnym Windows nie mo\u017cna ju\u017c \u0142adowa\u0107 niepodpisanych sterownik\u00f3w, jednak napastnicy mog\u0105 wykorzysta\u0107 podatne, legalnie podpisane sterowniki do \u0142atwego kontrolowania obszaru j\u0105dra.<\/p>\n

 <\/p>\n

Podatny modu\u0142 sterownika kt\u00f3rym pos\u0142u\u017cy\u0142o si\u0119 Lazarus Group w tym przypadku, by\u0142 zwi\u0105zany ze sprz\u0119tem wyprodukowanym przez “ENE Technology”. Modu\u0142 ten wykorzystywa\u0142 oryginaln\u0105 form\u0119 biblioteki open source o nazwie “WinIO”, opracowane\u0105 przez Yariva Kaplana w 1999 roku. Problemy z nim obejmuj\u0105 nie tylko fakt, \u017ce wykorzystuje on stary kod open source, ale tak\u017ce to, \u017ce warunek weryfikacji wywo\u0142ania modu\u0142\u00f3w jest s\u0142aby, co umo\u017cliwia odczyt i zapis do dowolnego obszaru pami\u0119ci j\u0105dra poprzez prosty proces obej\u015bcia.<\/p>\n

 <\/p>\n

W ten spos\u00f3b atakuj\u0105cy by\u0142 w stanie odczyta\u0107 i zapisa\u0107 dowolny obszar pami\u0119ci j\u0105dra, a dzi\u0119ki mo\u017cliwo\u015bci modyfikacji danych we wszystkich obszarach zwi\u0105zanych z j\u0105drem, w tym plikach, procesach, w\u0105tkach, rejestrach i filtrach zdarze\u0144, wy\u0142\u0105czy\u0142 wszystkie programy monitoruj\u0105ce w systemie, w tym AV.<\/p>\n

 <\/p>\n

Nasze produkty wykrywaj\u0105 wy\u017cej opisane zagro\u017cenia, a w razie potrzeby wysy\u0142aj\u0105 odpowiednie komunikaty o naruszeniu zabezpiecze\u0144. Zakup kt\u00f3regokolwiek z naszych pakiet\u00f3w nie tylko podnosi bezpiecze\u0144stwo firmy, lecz tak\u017ce daje dost\u0119p do pe\u0142nej wersji tego oraz innych specjalistycznych artyku\u0142\u00f3w z tematyki cyberbezpiecze\u0144stwa, zamieszczonych w konsoli XDR.<\/p>\n","protected":false},"excerpt":{"rendered":"

Wed\u0142ug specjalist\u00f3w AhnLab, na pocz\u0105tku 2022 r. grupa hakerska Lazarus przeprowadzi\u0142a ataki APT (Advanced Persistent Threat) na korea\u0144ski przemys\u0142 obronny, finansowy, medialny i farmaceutyczny.\u00a0AhnLab uwa\u017cnie \u015bledzi\u0142 te ataki i odkry\u0142, \u017ce parali\u017cuj\u0105 one produkty odpowiedzialne za bezpiecze\u0144stwo w procesie ataku. Analiza procesu ataku ujawni\u0142a, \u017ce Grupa Lazarus wykorzystuje star\u0105 wersj\u0119 procesu INITECH do przeprowadzenia wst\u0119pnego […]<\/p>\n","protected":false},"author":4,"featured_media":4402,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[57],"tags":[79],"class_list":["post-4425","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cyber-security","tag-cyberochrona"],"_links":{"self":[{"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/posts\/4425"}],"collection":[{"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/comments?post=4425"}],"version-history":[{"count":1,"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/posts\/4425\/revisions"}],"predecessor-version":[{"id":4426,"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/posts\/4425\/revisions\/4426"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/media\/4402"}],"wp:attachment":[{"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/media?parent=4425"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/categories?post=4425"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/tags?post=4425"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}