Napadači sve češće ciljaju Windows operativni sistem tako što iskorišćavaju ranjive drajvere, kažu stručnjaci kompanije Kaspersky. U drugom kvartalu 2024. godine, broj sistema napadnutih ovom tehnikom porastao je za skoro 23% u poređenju sa prvim kvartalom. Ranjivi drajveri mogu biti upotrebljeni za širok spektar napada, uključujući ransomver i napredne uporne pretnje (APT).
Sajber napadi koji koriste ranjive drajvere poznati su kao BYOVD („Donesite svoj ranjivi drajver“). Oni omogućavaju napadačima da pokušaju da isključe bezbednosna rešenja na sistemu i eskaliraju privilegije, omogućavajući im da sprovode razne zlonamerne aktivnosti kao što je instaliranje ransomvera ili uspostavljanje prilika za špijunažu ili sabotažu, posebno ako iza napada stoji grupa za napredne uporne pretnje (APT).
Kompanija Kaspersky izveštava da se ova tehnika napada češće koristila u 2023. godini i da trenutno dobija na zamahu. U drugom kvartalu 2024. godine, broj sistema napadnutih tehnikom BYOVD porastao je za skoro 23% u odnosu na prethodni kvartal.
Dinamika napada koji koriste ranjive drajvere
„Iako su sami drajveri legitimni, oni mogu biti ranjivi. Ove ranjivosti se zatim mogu zloupotrebiti. Počinioci koriste različite alate i metode da instaliraju ranjivi drajver na sistem. Kada operativni sistem učita ovaj drajver, napadač može da ga iskoristi da zaobiđe bezbednosne granice kernela operativnog sistema za sopstvene ciljeve“, objašnjava Vladimir Kuskov, rukovodilac istraživanja protiv malvera u kompaniji Kaspersky.
Jedan zabrinjavajući aspekt ovog trenda je proliferacija alata koji iskorišćavaju ranjive drajvere – oni se mogu naći na mreži. Iako 2024. godine postoji relativno malo ovih alatki – samo 24 projekta su objavljena od 2021. godine – stručnjaci kompanije Kaspersky primetili su povećanje broja ovih alata koji su objavljeni na mreži prošle godine. „Iako ništa zaista ne sprečava aktere pretnji da razviju sopstvene privatne alate, javno dostupni alati čine specifične veštine potrebne za istraživanje i iskorišćavanje ranjivih drajvera nepotrebnim. Samo u 2023. godini identifikovali smo otprilike 16 novih alata ove prirode, što je značajno povećanje u odnosu na samo jedan ili dva koje smo primetili prethodnih godina. Imajući u vidu ovaj porast, veoma je preporučljivo primeniti robusne zaštitne mere za svaki sistem“, objašnjava Vladimir Kuskov.
Za suzbijanje pretnji u vezi sa eksploatacijom ranjivih drajvera se mogu koristiti sledeće mere:
- Temeljno razumevanje infrastrukture i pažljivo praćenje njenog sadržaja, sa fokusom na perimetar.
- Da biste zaštitili kompaniju od širokog spektra pretnji, koristite rešenja iz Kaspersky Next linije proizvoda koji pružaju zaštitu u realnom vremenu, vidljivost pretnji, mogućnost istrage i EDR i XDR odgovor za organizacije bilo koje veličine i delatnosti, kao i sisteme zaštite od zloupotrebe ranjivih drajvera.
- Implementirajte proces upravljanja zakrpama da biste otkrili ranjivi softver unutar infrastrukture i brzo instalirali bezbednosne zakrpe. Rešenja poput Kaspersky Endpoint Security i Kaspersky Vulnerability Data Feed mogu pomoći u tom pogledu.
- Redovno sprovodite bezbednosne procene kako biste identifikovali i zakrpili slabe tačke pre nego što postanu ulazna tačka za napadača.
Ukoliko želite da pročitate više o rizicima i eksploataciji pretnji u drugom kvartalu 2024. godine, posetite Securelist. Za dublje uranjanje u svet sajber pretnji koji se stalno razvija i korisno umrežavanje, pridružite se Samitu bezbednosnih analitičara (SAS) kompanije Kaspersky koji će se održati po šesnaesti put od 22. do 25. oktobra 2024. godine na Baliju.