Виявлення та запобігання атак на ядро операційної системи

Будь-яка кібератака може мати значний вплив на ділові операції, але, можливо, жодна з них не є настільки витонченою, як атаки на ядро операційної системи.

Атаки ядра ОС використовують вразливості ядра операційної системи або інші  драйвера, навіть після їх виправлення. Під час типової атаки суперники встановлюють і завантажують вразливий драйвер, щоб отримати доступ до системи, а потім внести зміни. Хоча більшість операційних систем дозволяють законним постачальникам створювати та підписувати драйвери, кіберзлочинці можуть використовувати ці законні, але вразливі драйвери.

Потім зловмисники можуть використовувати цей драйвер для доступу до ядра операційної системи, де вони можуть виконувати будь-яку кількість дій, включаючи видалення або деактивацію заходів безпеки. Оскільки ці драйвери законно підписані, а відкликати сертифікат важко, невідпрацьовані версії драйверів можна використовувати нелегально роками.

Такі атаки складні. Однак наразі вони стають все більш поширеними. Одним з яскравих прикладів такої атаки є нова zero-day вразливість у драйвері криптографії Microsoft, опублікована в Google Project Zero наприкінці минулого року. Ця уразливість виникає в межах певного шляху управління введенням/виведенням (IOCTL) всередині драйвера, що дозволяє програмам користувацького режиму легко використовувати їх. Характер завантаження драйверів ускладнює запобігання цим атакам. 

Наприклад, драйвери, які CrowdStrike визнав зловмисними, можна заблокувати від завантаження в Windows 10/Server 2016, увімкнувши перемикання підозрілих драйверів ядра ОС (Захист від шкідливого програмного забезпечення → Виконання) у політиці запобігання Falcon. Для того, щоб датчик Falcon мав можливість виявлення взаємодії в режимі користувача (через IOCTL) із вразливими драйверами пристроїв, додаткові дані режиму користувача (AUMD) повинні бути ввімкнені в політиці запобігання Falcon. 

Для всіх компаній та організацій важливо вжити необхідних заходів для запобігання кібератакам ядра операційної системи. Ми рекомендуємо подумати про це завчасно та забезпечити своє підприємство відповідними рішеннями для захисту.

Вам може сподобатись
Рубрика: продукти та рішення
Популярні
×
Оставьте свой номер и мы вам перезвоним