بدافزار درایور ماوس گیمینگ برای غیرفعالسازی آنتیویروسها استفاده میشود
اخبار داغ فناوری اطلاعات و امنیت شبکهبدافزار درایور ماوس گیمینگ برای غیرفعالسازی آنتیویروسها استفاده میشود
محققان امنیت سایبری یک کمپین بدافزاری پیچیده را شناسایی کردهاند که در آن، یک درایور نرمافزاری متعلق به ماوسهای گیمینگ که دارای امضای دیجیتال معتبر است، برای غیرفعال کردن نرمافزارهای امنیتی و آنتیویروسها مورد سوءاستفاده قرار میگیرد. این حمله که تکنیک "از درایور آسیبپذیر خود استفاده کن" (BYOVD) را به کار میگیرد، به مهاجمان اجازه میدهد تا با استفاده از یک ابزار قانونی، مکانیزمهای دفاعی سیستم را از کار بیندازند و کنترل کامل سیستم قربانی را به دست بگیرند.
جزئیات آسیبپذیری چیست؟
-
شناسه: CVE-2024-5689
-
نوع تهدید: سوءاستفاده از درایور قانونی برای غیرفعالسازی محصولات امنیتی (BYOVD - Bring Your Own Vulnerable Driver)
-
تأثیر: غیرفعال شدن کامل آنتیویروس و نرمافزارهای امنیتی، اجرای کدهای مخرب با بالاترین سطح دسترسی (Kernel-level).
-
نرمافزار تحت تأثیر: درایور mousedr.sys مرتبط با نرمافزار ماوس گیمینگ برند "Bloody" متعلق به شرکت A4Tech.
-
روش بهرهبرداری: استفاده از یک بدافزار لودر (Loader) برای فراخوانی و سوءاستفاده از توابع آسیبپذیر درایور قانونی.
-
وضعیت: بهرهبرداری فعال در حملات سایبری مشاهده شده است.
نقص چگونه عمل میکند؟
این حمله چندمرحلهای به روش زیر عمل میکند:
-
نفوذ اولیه: مهاجمان از طریق روشهای معمول مانند فیشینگ یا دانلودهای آلوده، یک بدافزار لودر را روی سیستم قربانی اجرا میکنند.
-
نصب درایور قانونی: بدافزار، درایور قانونی و امضاشده mousedr.sys را که متعلق به ماوسهای گیمینگ است، روی سیستم نصب میکند. از آنجایی که درایور دارای امضای دیجیتال معتبر مایکروسافت است، سیستمعامل و نرمافزارهای امنیتی آن را یک فایل سالم تشخیص میدهند.
-
فراخوانی تابع آسیبپذیر: بدافزار از یک نقص مشخص در این درایور (CVE-2024-5689) سوءاستفاده میکند تا به هسته سیستمعامل (Kernel) دسترسی پیدا کند.
-
غیرفعال کردن امنیت: با دسترسی به سطح هسته، بدافزار فرآیندهای (processes) مربوط به نرمافزارهای امنیتی و آنتیویروسها را خاتمه میدهد و آنها را به طور کامل از کار میاندازد.
-
اجرای بدافزار اصلی: پس از غیرفعال شدن مکانیزمهای دفاعی، مهاجمان بدافزار اصلی خود (مانند باجافزار یا ابزارهای جاسوسی) را روی سیستم اجرا میکنند.
وضعیت فعلی تهدید
این تکنیک به صورت فعال در حملات سایبری مشاهده شده است. مهاجمان با سوءاستفاده از اعتماد سیستمعامل به درایورهای امضاشده، به راحتی میتوانند محصولات امنیتی ۱۱ شرکت مختلف از جمله Avast, AVG, Bitdefender, Comodo, ESET, F-Secure, Kaspersky, Malwarebytes, McAfee, Panda و Windows Defender را غیرفعال کنند. مایکروسافت در حال بررسی این تهدید است تا درایور مخرب را به لیست سیاه خود اضافه کند، اما تا آن زمان، سیستمها همچنان در معرض خطر هستند.
چگونه از خود محافظت کنیم؟
-
بهروزرسانی ویندوز: اطمینان حاصل کنید که فهرست مسدودسازی درایورهای آسیبپذیر ویندوز (Windows vulnerable driver blocklist) شما بهروز است.
-
استفاده از راهکارهای امنیتی پیشرفته: از نرمافزارهای امنیتی استفاده کنید که قابلیت محافظت از دستکاری (Tamper Protection) دارند و میتوانند از خاتمه یافتن فرآیندهای خود توسط عوامل خارجی جلوگیری کنند.
-
محدودیت نصب درایور: در صورت امکان، با استفاده از سیاستهای گروهی (Group Policies)، نصب درایورهای جدید توسط کاربران غیرمجاز را محدود کنید.
-
افزایش آگاهی: به کاربران در مورد خطرات دانلود و نصب نرمافزار از منابع نامعتبر آموزش دهید، حتی اگر به نظر قانونی برسند.
چرا این تهدید مهم است؟
اهمیت این تهدید در روش هوشمندانه آن برای دور زدن مکانیزمهای امنیتی نهفته است. مهاجمان به جای تلاش برای مبارزه مستقیم با آنتیویروس، از یک ابزار قانونی و مورد اعتماد (یک درایور امضاشده) به عنوان اسب تروآ برای نفوذ به عمیقترین لایههای سیستمعامل و خلع سلاح آن استفاده میکنند. این رویکرد، تشخیص و جلوگیری از حمله را بسیار دشوار میکند و نشان میدهد که حتی نرمافزارهای به ظاهر بیخطر نیز میتوانند به یک سلاح سایبری قدرتمند تبدیل شوند.
برچسب ها: infosec , BYOVD, شبکه, Network, Cyberattack, Update, cybersecurity, VMware, Vulnerability, phishing, بدافزار, حمله سایبری, news