Un nuevo ataque BYOVD (trae su propio conductor pasivo) explota un conductor genuino y firmado que contiene una vulnerabilidad. Esto permite a los atacantes conseguir la ejecución del código de nivel de núcleo, acontecer por detención el defensor de Microsoft e instalar ransomware. Para evitar ser víctimas, siga las medidas de protección en esta breviario.
Cómo el ataque BYOVD está evadiendo la protección del defensor de Microsoft
Este ataque BYOVD explota al conductor de RWDRV.SYS para obtener entrada a nivel de núcleo y luego implementar el regulador HLPDRV.SYS sagaz para deshabilitar los escudos de defensa de Microsoft del registro. El regulador RWDRV.Sys generalmente es instalado y utilizado por aplicaciones Optimizer como TROTTLESTOP o algunas aplicaciones de control de ventiladores. Es un conductor genuino, pero se puede explotar para obtener entrada a nivel de núcleo. Así es como funciona el ataque:
- Los piratas informáticos obtienen entrada a la PC. Por lo normal, al comprometer la red, pero asimismo se puede hacer utilizando troyanos de entrada remoto (rata).
- Instalan el regulador RWDRV.SYS que Windows confía de forma predeterminada.
- Usando el regulador RWDRV.SYS, obtienen privilegios del núcleo para instalar el regulador HLPDRV.SYS sagaz.
- HLPDRV.SYS edita títulos de registro de Windows para deshabilitar los escudos de defensores de Microsoft.
- Con las protecciones deshabilitadas, el atacante instala ransomware o ejecuta otras herramientas maliciosas.
Hasta ahora, el ransomware Akira está asociado con estos ataques, pero con la protección en torno a debajo, los actores maliciosos pueden hacer lo que quieran. Siga las siguientes medidas de protección para mantenerse a exceptuado:
Habilitar funciones de seguridad de Windows
Hay características de seguridad de Windows que pueden evitar que ocurran tales ataques o incluso proteger cuando los escudos de defensa de Microsoft están bajos. Busque «Seguridad de Windows» en Windows Búsqueda, anconada la aplicación de seguridad de Windows y habilite las siguientes características de seguridad que están deshabilitadas de forma predeterminada.
- Paso a la carpeta controlada: Esta característica es una característica de protección de ransomware que resistirá los ataques incluso con los escudos de defensor. Ir a Protección contra el virus y la amenaza → Mandar Configuración → Mandar entrada de carpeta controlada y habilitar Paso a carpetas controladas palanca. Luego puede asociar carpetas protegidas que resistirán los ataques de ransomware.
- Características de aislamiento del núcleo: Las características de aislamiento del núcleo pueden evitar la instalación de controladores vulnerables y la ejecución de código sagaz. Si todos están habilitados, aumenta en gran medida la seguridad, y BYOVD ni siquiera puede ingresar al sistema. Ir a Seguridad del dispositivo y brindar Detalles de aislamiento del núcleo. Debe habilitar todas las funciones aquí, pero la integridad de la memoria puede requerir que la empresa del regulador se encienda.
Muchas herramientas de utilidad que funcionan a nivel del núcleo utilizan el regulador RWDRV.SYS. Si este regulador pasivo ya está presente, puede proporcionar el trabajo de los hackers, ya que no tendrán que instalar su propia copia. De hecho, los ataques recientes utilizaron el regulador ya instalado. Si no es necesario, debe evitar el uso de herramientas de utilidad que instalen RWDRV.SYS, como Trottlestop o Rweverything.
Para confirmar si tiene instalado RWDRV.SYS, busque «CMD» en la búsqueda de Windows, haga clic con el renuevo derecho en Solicitante del sistemay hacer clic Ejecutar como administrador. Aquí, ejecuta el comando where /r C: rwdrv.sys y déjalo escanear. Si se encuentra el regulador RWDRV.SYS, debe encontrar la aplicación que la instaló y desinstalarla.
Use una cuenta standard para el uso diario
Para la mejor protección, siempre recomendamos no usar una cuenta de administrador y dependiendo de una cuenta standard para el uso diario. Contra BYOVD, esto es especialmente importante. Este ataque depende en gran medida de los privilegios de empresa para instalar el regulador pasivo o utilizarlo.
En una cuenta standard, los piratas informáticos no podrán hacer ningún cambio elevado en la PC, por lo que el ataque se detendrá en el inicio. Si lo intentan, se le notificará de la energía. Para crear una nueva cuenta standard, anconada Windows Ajustes y ir a Cuentas → Otros usuarios → Sumar cuenta. Siga las instrucciones para crear una nueva cuenta y establecerla como Standard.
Use un software antivirus diferente
Este ataque tiene instrucciones específicamente para deshabilitar los escudos de defensa de Microsoft; Las mismas instrucciones no funcionarán para otro software antivirus de terceros. Los programas antivirus de terceros utilizan diferentes métodos para cuidar funciones de encendido/acabado, tales ataques no pueden explotarlos con una instrucción universal.
Simplemente instale cualquier software antivirus regalado con escaneo en tiempo vivo para mantenerse a exceptuado, como Avast o AVG Antivirus.
Los investigadores de seguridad (GuidePoint, Kaspersky y otros) ya han rastreado el ransomware Akira utilizando RWDRV.SYS en ataques BYOVD y han publicado COI. Con suerte, Microsoft hará poco sobre esta amenaza en el futuro cercano. Solo para estar seguro, habilite todas las características de seguridad de Windows, especialmente las funciones avanzadas de defensa de Microsoft.
