Во время недавней кибератаки на бразильское предприятие злоумышленники продемонстрировали, как легитимные, но уязвимые драйверы могут стать инструментом для обхода систем защиты. Использование драйвера ThrottleStop позволило атакующим отключить антивирусное ПО и внедрить опасный
Как проходит атака
Атака начиналась с компрометации SMTP-сервера через легитимные RDP-учетные данные. После этого, используя утилиту Mimikatz, злоумышленники собирали и использовали дополнительные аутентификационные данные, чтобы распространять атаку по сети. Главная цель - подавление всех средств безопасности предприятия. В процессах атаки применялись AV-киллер, именуемый "All.exe", и модифицированный драйвер, переименованный в ThrottleBlood.sys.
Этот AV-киллер взаимодействовал с уязвимым драйвером через интерфейс IOCTL, чтобы читать и писать физическую память и эксплуатировать критическую уязвимость CVE-2025-7771. Установленный драйвер открывал злоумышленникам доступ к модификациям ядра, позволяя завершать процессы антивирусов, включая
Риски и защита
Злоумышленники использовали драйвер для нахождения и перехвата функций ядра, вставляя код, выполняющий процессные рутины. Дополнительно, они полагались на скрытые функции Windows, такие как NtQuerySystemInformation, для картирования загруженных модулей и мозгового штурма с ядром напрямую.
Этот инцидент подчеркивает недостатки работы с одиночными антивирусами и необходимость многослойной защиты. Недостатки RDP-доступа требуют более жестких мер безопасности: сегментация сетей, ограничение привилегий, постоянное наблюдение за установками драйверов и внедрение решений с мощными системами самозащиты.
С ростом атак типа BYOVD, мониторинг уязвимых драйверов и активное управление обнаружением и реагированием становятся критически важными. Поскольку доверенные компоненты в неправильных руках превращаются в мощный инструмент атаки, компаниям необходимо пересмотреть свои подходы к безопасности.
