Киберпрестъпниците все по-често експлоатират уязвимости в легитимни драйвери, за да заобиколят системите за сигурност. По този начин те могат да получат пълен контрол над компютрите на жертвите си.
Драйверите са ключови софтуерни компоненти, които осигуряват комуникацията между операционната система и хардуерните устройства. Тъй като те са цифрово подписани от легитимни производители, операционната система им се доверява по подразбиране. Именно това доверие експлоатират киберпрестъпниците.
Как работят BYOVD атаките?
При BYOVD атака, злонамерените актьори:
- Внедряват легитимен, но уязвим драйвер в целевата система.
- Експлоатират уязвимостите за получаване на привилегирован достъп.
- Използват получените права за:
- деактивиране на защитния софтуер;
- инсталиране на руткитове;
- създаване на скрити точки за достъп;
Първоначално използвани само от елитни хакерски групи като Turla и Equation Group, BYOVD атаките стават все по-достъпни. Проектът Living Off The Land Drivers (LOLDrivers) е идентифицирал над 700 уязвими драйвера, които могат да бъдат експлоатирани.
С увеличаването на достъпността на BYOVD атаките, експертите очакват техният брой да продължи да расте. Затова организациите трябва да приемат комплексен подход към киберсигурността. Той включва както превантивни мерки, така и способност за бързо откриване и реагиране на заплахи.
За да се защитите от BYOVD атаки, ви препоръчваме:
- поддържайте списък с одобрени драйвери;
- редовно обновявайте драйверите с най-новите версии;
- използвайте системи за унифицирано управление на крайните точки (UEM);
- внедрете решения за откриване и реагиране в крайните точки (EDR);
- правете непрекъснат мониторинг на инсталираните драйвери;
- провеждайте регулярни penetration тестове.