«Կասպերսկի Լաբորատորիա»-ն հայտնաբերել է Windows-ի զրոյական օրվա կրիտիկական խոցելիություն
«Կասպերսկի Լաբորատորիա»-ն հայտնաբերել է Microsoft Windows-ի օպերացիոն համակարգի նախկինում անհայտ խոցելիություն, որի օգնությամբ չարագործները փորձում են հսկողություն սահմանել վարակված սարքերի նկատմամբ։ Նրանց նպատակը համակարգի միջուկն է, և դրան հասնելու համար նրանք օգտագործում են բեկդոր, որը մշակվել է Windows PowerShell լեգիտիմ բաղադրիչի հիման վրա։
Բեկդորները վնասաբեր ծրագրային ապահովման (ԾԱ) չափազանց վտանգավոր տիպ են, որոնք գրոհողներին թույլ են տալիս թաքուն հեռավար կառավարել սարքը։ Ընդ որում, եթե բեկդորն օգտագործում է նախկինում անհայտ խոցելիությունը (այսպես կոչված՝ զրոյական օրվա խոցելիություն), այն ունի պաշտպանության ստանդարտ մեխանիզմները շրջանցելու էապես ավելի մեծ հնարավորություններ։
Այնուամենայնիվ, «Կասպերսկի Լաբորատորիա»-ի լուծումների՝ էքսպլոյտներից ավտոմատ պաշտպանության տեխնոլոգիան հայտնաբերել է նոր սպառնալիքը։ Ինչպես պարզել են ընկերության փորձագետները, գրոհի սցենարը հետևյալն է. սկզբում սարքում գործարկվում է .exe ֆայլը, իսկ հետո այն տեղադրում է վնասաբեր ԾԱ-ն, որն իր հերթին ներբեռնում է PowerShell-ի հիման վրա գրված հենց այն բեկդորը։ Քանի որ վարակումը տեղի է ունենում զրոյական օրվա խոցելիության օգտագործումով, իսկ վնասաբեր ծրագիրը գործի է դնում լեգիտիմ գործիքներ, գրոհողներն ունենում են վարակված համակարգում ամրապնդվելու և այն աննկատ վերահսկելու բոլոր հնարավորությունները։
«Այս պատմության մեջ մենք տեսնում ենք АРТ-դասի, այսպես կոչված, Advanced Persistent Threats գրոհներին բնորոշ երկու հիմնական միտում։ Առաջինը՝ էքսպլոյտների կիրառումն է համակարգում հաջող ամրապնդման նպատակով լոկալ մեքենայում արտոնությունների մեծացման համար։
Երկրորդը՝ վնասաբեր նպատակներով լեգիտիմ գործիքների, տվյալ դեպքում, PowerShell-ի օգտագործումն է։ Նման մոտեցումը չարագործներին տալիս է պաշտպանության ստանդարտ մեխանիզմները շրջանցելու հնարավորություն։ Նման սպառնալիքներից զերծ պահելու համար պաշտպանական լուծումները պետք է տիրապետեն վարքի վերլուծության և էքսպլոյտների ավտոմատ արգելափակման տեխնոլոգիաների»,- նշում է «Կասպերսկի Լաբորատորիա»-ի բարդ սպառնալիքների հետազոտության և հայտնաբերման բաժնի ղեկավար Անտոն Իվանովը։
«Կասպերսկի Լաբորատորիա»-ի լուծումներն էքսպլոյտը ճանաչում են որպես HEUR:Exploit.Win32.Generic, HEUR:Trojan.Win32.Generic կամ PDM:Exploit.Win32.Generic:
Խոցելիության չեզոքացման համար Microsoft ընկերությունը 2019թ. ապրիլի 10-ին թողարկել է համապատասխան թարմացում։
Լրահոս
Տեսանյութեր
Հայաստանի ու հայ ժողովրդի շահերը պաշտպանող իշխանություն գոյություն չունի. Բագրատ Սրբազան