Обнаружение и предотвращение атак на ядро операционной системы

Любая кибератака может иметь значительное влияние на деловые операции, но ни одна из них не является столь утонченной, как атаки на ядро ​​операционной системы.

Атаки ядра ОС используют уязвимости ядра операционной системы или других драйверов даже после их исправления. Во время обычной атаки соперники устанавливают и загружают уязвимый драйвер для доступа к системе, а затем вносят изменения. Хотя большинство операционных систем позволяют законным поставщикам создавать и подписывать драйверы, киберпреступники могут использовать эти законные, но уязвимые драйверы.

Затем злоумышленники могут использовать этот драйвер для доступа к ядру операционной системы, где они могут выполнять любое количество действий, включая удаление или деактивацию мер безопасности. Поскольку эти драйверы законно подписаны, а отозвать сертификат трудно, неотработанные версии драйверов можно использовать нелегально годами.

Такие атаки сложные. Однако, пока они становятся все более распространенными. Одним из ярких примеров такой атаки является новая zero-day уязвимость в драйвере криптографии Microsoft, опубликованная в Google Project Zero в конце прошлого года. Эта уязвимость возникает в пределах определенного пути управления вводом/выводом (IOCTL) внутри драйвера, позволяет программам пользовательского режима легко использовать их. Характер загрузки драйверов усложняет предотвращения этих атак.

Например, драйверы, которые CrowdStrike признал злонамеренными, можно заблокировать от загрузки в Windows 10/Server 2016, включив переключения подозрительных драйверов ядра ОС (Защита от вредоносного программного обеспечения → Выполнение) в политике предотвращения Falcon. Для того, чтобы датчик Falcon имел возможность выявления взаимодействия в режиме пользователя (через IOCTL) с уязвимыми драйверами устройств, дополнительные данные режима (AUMD) должны быть включены в политике предотвращения Falcon.

Для всех компаний и организаций важно принять необходимые меры для предотвращения кибератак ядра операционной системы. Мы рекомендуем подумать об этом заранее и обеспечить свое предприятие соответствующими решениями для защиты.

Вам может понравится
Рубрика: продукты и решения
Популярные
×
Оставьте свой номер и мы вам перезвоним