Все о Цифровых системах - новости, статьи, обзоры, аналитика. Более 1000 компаний, товаров и услуг в каталоге.
Добавить компанию

Хакеры используют пробные версии защиты для взлома корпоративных сетей

Рубрика: «Кибербезопасность»

Хакеры используют пробные версии защиты для взлома корпоративных сетей

Как пояснил Андрей Жданухин, руководитель группы аналитики L1 GSOC компании «Газинформсервис», эта схема использует сами средства защиты против их назначения.

Суть техники заключается в следующем: хакеры регистрируются на бесплатный пробный период какого-либо EDR, устанавливают его на целевую систему с правами администратора и настраивают так, чтобы он блокировал или удалял уже установленный легитимный EDR, например CrowdStrike.

«При этом часто не срабатывает никакая защита, установленные агенты прекращают работу и теряют связь с SOC, что создаёт иллюзию нормального статуса системы (offline), хотя на самом деле защитный слой отключён», — пояснил Жданухин.

Эксперт добавил, что похожие методы были зафиксированы при атаках таких известных группировок, как RansomHub, Play и Medusa. Они использовали уязвимые драйверы и инструменты вроде EDRKillShifter для убийства EDR, после чего разворачивали малвари с минимальными шансами быть обнаруженными.

«Это демонстрирует, что слепое доверие к стандартным EDR/XDR-платформам может обернуться серьёзной уязвимостью для организаций, особенно когда локальные админ-права позволяют злоумышленнику манипулировать поведением средств безопасности», — подчеркнул руководитель группы аналитики L1 GSOC.

Он добавил, что GSOC компании «Газинформсервис» предлагает принципиально иной уровень защиты, нацеленный на проактивное обнаружение подобных манипуляций: — во-первых, SOC моделирует сценарии «борьбы EDR с EDR»: анализируются нестандартные установки новых защитных продуктов, неожиданные исключения или блокировки известных агентов, а также резкое падение телеметрии с рабочих станций. — во-вторых, посредством правил корреляции выявляются установки EDR агентов, особенно если они запускаются несогласованно с IT направлением организации. При обнаружении подозрительной активности — будь то запуск неизвестного установщика, изменение настроек уже установленного EDR или отключение агента, — GSOC инициирует изоляцию устройства, уведомляет ответственных и запускает процесс реагирования.

«Таким образом, — заключил эксперт, — даже если злоумышленник попытался использовать легитимный инструмент безопасности в своих целях, GSOC способен перехватить сценарий ещё до того, как вредоносная активность выйдет из-под контроля».