Peretas telah menemukan cara untuk menonaktifkan beberapa program antivirus (terbuka di tab baru) pada perangkat Windows, memungkinkan mereka menyebarkan semua jenis malware pada perangkat target.
Peneliti keamanan siber AhnLab Security mengamati dua serangan semacam itu tahun lalu, di mana penyerang menemukan dua kerentanan yang belum ditambal di Sunlogin, perangkat lunak kendali jarak jauh yang dibuat oleh perusahaan China, dan menggunakannya untuk mengimplementasikan skrip PowerShell yang disamarkan yang menonaktifkan produk keamanan apa pun yang mungkin dimiliki korban. diinstal.
Kerentanan yang dieksploitasi dilacak sebagai CNVD-2022-10270 dan CNVD-2022-03672. Keduanya adalah bug eksekusi kode jarak jauh yang ditemukan di Sunlogin versi 11.0.0.33 dan sebelumnya.
Penyalahgunaan driver anti-cheat
Untuk mengeksploitasi kerentanan, penyerang menggunakan bukti konsep yang telah dipublikasikan. Skrip PowerShell yang diterapkan menerjemahkan .NET portabel yang dapat dieksekusi, program sumber terbuka yang dimodifikasi Mhyprot2DrvControl yang menggunakan driver Windows yang rentan untuk mendapatkan hak istimewa tingkat kernel.
Alat khusus ini menggunakan mhyprot2.sys, driver anti-cheat untuk Genshin Impact, sebuah game role-playing.
“Dengan proses melewati yang sederhana, malware dapat mengakses area kernel melalui mhyprot2.sys,” kata para peneliti.
“Pengembang Mhyprot2DrvControl telah menyediakan banyak fitur yang dapat digunakan dengan hak istimewa yang ditingkatkan oleh mhyprot2.sys. Di antara mereka, penjahat dunia maya telah menggunakan fitur yang memungkinkan penghentian paksa proses untuk mengembangkan malware yang mematikan banyak produk anti-malware. “
Setelah proses keamanan selesai, penyerang dapat memasang malware apa pun. Terkadang mereka hanya membuka cangkang terbalik, dan di lain waktu mereka memasang penambang cryptocurrency Sliver, Gh0st RAT, atau XMRig.
Metode tersebut dikenal dengan BYOVD, atau Bring Your Own Rentan Driver. Rekomendasi Microsoft terhadap jenis serangan ini adalah mengaktifkan Daftar Blokir Driver Rentan, sehingga mencegah sistem menginstal atau menjalankan driver yang diketahui rentan.
Oleh: Bip Komputer (terbuka di tab baru)