Сегодня 21 декабря 2024
18+
MWC 2018 2018 Computex IFA 2018
реклама
Теги → антивирус
Быстрый переход

Хакеры нашли способ отключать антивирус Avast с помощью его же драйвера

Специалисты по кибербезопасности из компании Trellix обнаружили, что хакеры нашли новый способ отключения антивирусных программ в целевых системах через использование легитимного, но старого драйвера Avast. Злоумышленники эксплуатируют уязвимость, позволяющую драйверу завершать процессы на уровне ядра.

 Источник изображения: Ed Hardie / Unsplash

Источник изображения: Ed Hardie / Unsplash

Согласно информации, атака, использует метод «принеси свой уязвимый драйвер» (BYOVD). Атакующие применяют старую версию драйвера антируткита Avast для остановки работы различных продуктов безопасности. Вредоносное ПО, известное как AV Killer, устанавливает драйвер под именем ntfs.bin в стандартную папку пользователя Windows.

 Источник изображения: Trellix

Цепочка атак. Источник изображения: Trellix

После установки драйвера вредоносная программа создаёт сервис aswArPot.sys, используя утилиту Service Control (sc.exe). После этого, сверяются активные процессы системы с заранее заготовленным списком из 142 процессов, связанных с антивирусными приложениями. «Когда вирус находит совпадение, он самостоятельно создаёт идентификатор для взаимодействия с установленным драйвером Avast», — поясняет исследователь Тришан Калра (Trishaan Kalra) из компании Trellix.

 Источник изображения: Trellix

Список процессов. Источник изображения: Trellix

Далее с помощью программного интерфейса API DeviceIoControl, вредоносное ПО отправляет команды IOCTL, необходимые для завершения работы целевых процессов. Среди целей атаки называются антивирусы от таких ведущих компаний, как McAfee, Symantec, Sophos и других. При этом способ отключения позволяет хакерам проводить вредоносные действия без оповещения пользователя или блокировки со стороны систем безопасности.

 Источник изображения: Trellix

Список процессов. Источник изображения: Trellix

Стоит отметить, что сам по себе метод относительно архаичен. Аналогичные случаи были зафиксированы в начале 2022 года при анализе атак с использованием вымогателя AvosLocker.

В ответ на обнаруженные уязвимости Avast выпустила обновления безопасности своего драйвера, а Microsoft для защиты от подобных атак предлагает использовать политику блокировки уязвимых драйверов, активно обновляемую с каждым крупным релизом Windows.

Американцы продолжают пользоваться антивирусами Kaspersky, несмотря на запрет

После введения в США запрета продаж и использования антивирусных продуктов «Лаборатории Касперского» российская компания удалила в автоматическом режиме у пользователей свои решения, заменив их на антивирус UltraAV. Но не все американцы отказались от ПО российской компании, несмотря на запрет, и нашли пути его обхода, чтобы и дальше пользоваться популярным антивирусом, пишет TechCrunch.

Несколько человек, живущих в США, сообщили в публикациях на платформе Reddit, что по-прежнему остаются клиентами «Лаборатории Касперского». В ответ на вопрос TechCrunch о мотивах такого решения, они назвали разные причины: от скептического отношения к объявленной правительством причине запрета (российскую компанию назвали угрозой национальной безопасности) или того, что за продукт уже уплачено, до простого предпочтения этого антивируса другим средствам защиты.

«Он общеизвестен как лучший [антивирус] в мире и имеет долгую историю. Нет никаких фактических доказательств того, что это "шпионское ПО", и я не могу просто слепо верить чему-то, что не имеет никаких доказательств», — сообщил ресурсу TechCrunch пользователь Reddit из США, известный под ником Blippyz.

Другой пользователь Reddit с ником YouKnowWho_13 из Нью-Йорка, заявил, что он всего лишь кассир, и его не беспокоят заявления о том, что «Лаборатория Касперского» злоупотребляла своим доступом к компьютерам некоторых американцев, чтобы копировать конфиденциальные данные для передачи российскому правительству.

YouKnowWho_13 добавил, что запрет на продажу ПО компании был «слишком суровым» и ненужным. «Я пользовался им 10 лет. Сила привычки. Это хороший продукт», — отметил YouKnowWho_13. Он рассказал, что купил международный лицензионный ключ на eBay, а для получения обновлений безопасности добавил в приложении сервер обновлений за пределами США. После истечения срока действия лицензионного ключа он перейдёт на продукты ESET или Bitdefender.

Другие пользователи рассказали, что для получения обновлений тоже указывают в приложении сервер обновлений за пределами США или же прибегают к помощи средств обхода блокировок.

Новая macOS Sequoia парализовала работу многих антивирусов на Mac

Новая версия операционной системы Apple для компьютеров Mac, macOS Sequoia, привела к неожиданным проблемам. Пользователи и разработчики сообщили о массовых сбоях в работе популярных антивирусов и других инструментов безопасности.

 Источник изображения: Gabriela Gonzalez/Unsplash

Источник изображения: Gabriela Gonzalez/Unsplash

Судя по всему, macOS Sequoia оказалась несовместима с программным обеспечением от таких компаний, как CrowdStrike, SentinelOne, Microsoft и ESET. По сообщению издания TechCrunch, в социальных сетях и на специализированных форумах пользователи жалуются на проблемы с подключением к сети, некорректную работу брандмауэров и другие сбои, и во всём винят разработчиков антивирусов.

«Как разработчику инструментов безопасности для macOS, мне невероятно обидно снова и снова сталкиваться с расстроенными пользователями, которые обвиняют в поломке своих Mac наши инструменты, хотя на самом деле это вина Apple», — сетует Патрик Уордл (Patrick Wardle), основатель стартапа DoubleYou, занимающегося разработкой инструментов безопасности.

Известная компания CrowdStrike в день выхода macOS Sequoia сообщила в Slack-канале для администраторов Mac, что им вообще пришлось отложить поддержку новой версии операционной системы. Представитель компании отметил, что «очень сожалеет о том, что невозможно оказать поддержку безопасности Sequoia с первого дня, несмотря на предыдущий опыт быстрого реагирования на новые обновления Apple». CrowdStrike отправила своим клиентам техническое оповещение, в котором указывает на вынужденные изменения в среде безопасности на macOS.

Проблемы с новой операционной системой Apple затронули не только корпоративных пользователей. Исследователь безопасности Уилл Дорманн (Will Dormann) написал в Mastodon, что у него возникли проблемы с DNS и запуском брандмауэра на его Mac. Другой эксперт по безопасности, Вацлав Яцек (Wacław Jacek) столкнулся с блокировкой доступа к веб-браузерам после обновления. Судя по ветке Reddit, macOS Sequoia также вызвала проблемы у пользователей браузера Firefox.

Компании SentinelOne, ESET и SentinelOne Agent также обнаружили трудности с сетевым подключением после обновления операционной системы до macOS Sequoia. На данный момент Apple никак не прокомментировала ситуацию и не ответила на запросы журналистов. Разработчики антивирусного ПО работают над решением проблемы, однако пока неясно, как скоро пользователи macOS Sequoia смогут вздохнуть спокойно.

Microsoft закроет антивирусам доступ к ядру Windows, чтобы не было новых глобальных сбоев

Microsoft раскрыла детали закрытого саммита по безопасности Windows Endpoint Security Ecosystem Summit, организованного в ответ на масштабный сбой Windows, произошедший в июле из-за некорректного обновления антивирусного ПО CrowdStrike. На нём компания обсудила с партнёрами разработку в Windows новой платформы, специально предназначенной для антивирусного мониторинга, вытесняя продукты безопасности из ядра операционной системы (ОС).

 Источник изображения: Microsoft

Источник изображения: Microsoft

Компания подчеркнула: «Хотя это не было совещанием для принятия решений, мы верим в важность прозрачности и взаимодействия с сообществом». Примечательно, что саммит был закрыт для журналистов, что подчёркивает его техническую направленность.

Ключевой причиной июльского инцидента стал привилегированный доступ антивирусного ПО к ядру Windows — критическому компоненту ОС. Этот механизм, позволяющий антивирусам эффективно отслеживать вредоносные изменения в глубинах системы, одновременно представляет потенциальную угрозу для её стабильности. В случае с CrowdStrike сбой в механизмах валидации обновлений позволил проскочить ошибке, что привело к сбою Windows на компьютерах по всему миру.

Изначально Microsoft рассматривала возможность полного отзыва доступа к ядру для сторонних программ, что могло бы трансформировать Windows в более закрытую ОС, подобную Apple macOS. Однако по итогам саммита компания отказалась от столь радикальных мер. Вместо этого Microsoft сосредоточится на разработке новой платформы, предоставляющей расширенные возможности безопасности вне режима ядра, тем самым пойдя на встречу своим клиентам и партнёрам.

На саммите Microsoft и её партнёры детально обсудили технические аспекты создания новой платформы. Ключевыми темами стали обеспечение производительности вне режима ядра, разработка механизмов защиты от несанкционированного доступа для программ безопасности и определение требований к сенсорам безопасности для антивирусного мониторинга. Microsoft подчеркнула долгосрочный характер проекта по разработке нового уровня безопасности Windows в тесном сотрудничестве с партнёрами по экосистеме.

Microsoft Defender определяет текстовый файл с одной строкой как троянца

Штатное антивирусное решение Microsoft Defender, используемый в операционных системах Windows, считается достаточно надёжным, но и оно может чрезмерно усердствовать в процессе работы. Оказалось, что антивирус определяет текстовый файл всего с одной строкой как троянскую программу Trojan:Win32/Casdet!rfn.

 Источник изображения: Shutterstock

Источник изображения: Shutterstock

На эту особенность обратил внимание пользователь социальной сети X с ником yappy. Если ввести в блокноте фразу «This content is no longer available» (Этот контент больше недоступен) или «This content is no longer available!», и сохранить его в виде текстового файла на компьютере, то Microsoft Defender незамедлительно пометит его как троянскую программу и удалит с устройства, независимо от того, под каким именем файл был сохранён.

Заинтересовавшиеся подобным поведением антивируса пользователи изучили вопрос более детально и пришли к выводу, что причиной ложного срабатывания Microsoft Defender могла стать коллизия SHA-256. Они предполагают, что антивирус распознаёт обычный текстовый файл как вредоносный из-за того, что упомянутая фраза неоднократно использовалась злоумышленниками в различном вредоносном ПО.

 Источник изображения: X / yappy

Источник изображения: X / yappy

Вероятно, в скором времени Microsoft исправит ошибку, из-за которой антивирус распознаёт текстовый файл как троян. Что именно стало причиной такого поведения Microsoft Defender, пока неизвестно.

США запретят использовать антивирусы «Лаборатория Касперского» — из-за угрозы нацбезопасности

Администрация президента США Джозефа Байдена (Joseph Biden) приняла решение о блокировке продаж и использования программного обеспечения российской компании «Лаборатория Касперского» на территории США, сообщает агентство Reuters, ссылаясь на источник, знакомый с ситуацией. Причина — угроза национальной безопасности.

 Источник изображения: Kaspersky.ru

Источник изображения: Kaspersky.ru

Сообщается, что решение было принято после того, как было установлено, что «тесные связи Kaspersky Lab с российским правительством представляют серьёзную угрозу национальной безопасности США». А привилегированный доступ антивирусного программного обеспечения к компьютерным системам может быть якобы использован для кражи конфиденциальной информации, установки вредоносных программ или отказ в критически важных обновлениях.

Запрет будет распространяться на государственные учреждения, компании критической инфраструктуры, местные органы власти и других крупных корпоративных клиентов «Лаборатории Касперского» в США. Обычным пользователям также не рекомендовано использовать данное ПО, но ответственности за это не предусмотрено, в отличие от компаний, которым по новому закону США грозит ответственность вплоть до уголовной, если Минюстом будет доказано, что нарушение было умышленным.

Новые ограничения на продажу, перепродажу, загрузку обновлений и лицензирование программного обеспечения «Лаборатории Касперского» вступят в силу 29 сентября, то есть через 100 дней после публикации, чтобы дать компаниям время найти альтернативное ПО. Бизнес Касперского в США будет заблокирован через 30 дней после объявления ограничений. Продажа продуктов с «белой маркировкой» (White Label), которые интегрируют ПО «Лаборатории Касперского», продаваемое под другой торговой маркой, также будет запрещена, сообщает источник, отметив, что Министерство торговли заранее уведомит компании, прежде чем принять меры.

По не ясно, какое влияние окажут новые санкции на компанию Касперского, чей бизнес уже и так подпадает под действие жёстких экспортных ограничений США, что делает практически невозможным попадание в Россию любых произведённых в США товаров, кроме продуктов питания и медицинских товаров. Включение компании в чёрный список также может серьёзно ограничить её зарубежные производственные цепочки.

Avast вновь уличили в торговле данными пользователей

Специализирующаяся на продуктах в области информационной безопасности компания Avast оштрафована на $14,8 млн Управлением по защите личных данных Чехии (ÚOOÚ) за незаконную обработку личных данных 100 млн пользователей антивируса и браузерных расширений.

 Источник изображения: Avast

Источник изображения: Avast

По мнению ÚOOÚ, Avast вводила в заблуждение пользователей утверждениями об использовании надёжных методов анонимизации данных, тогда как часть собираемой информации всё же могла быть использована для идентификации пользователей. Установлено, что в 2019 году Avast передала данные 100 млн пользователей своих продуктов занимавшейся продажей аналитики поведения пользователей и закрытой в 2020 году дочерней компании Jumpshot.

Avast уже заявила, что не согласна с выводами ÚOOÚ и рассматривает возможность дальнейших судебных действий, а также подчеркнула приверженность защите данных клиентов и их конфиденциальности. Компания не первый раз оказывается в эпицентре подобных скандалов. В феврале Федеральная торговая комиссия (FTC) США обвинила Avast в незаконной продаже данных пользователей, оштрафовав на $16,5 млн. По словам FTC, Avast годами собирала информацию о действиях клиентов в интернете, включая их поисковые запросы и посещаемые веб-сайты, используя собственные расширения браузера. Полученные данные передавались всё той же ныне закрытой Jumpshot.

Avast и CCleaner больше не работают в России

Чешская компания Avast Software полностью покинула российский рынок, в связи с чем на территории страны перестали работать продукты разработчика, такие как антивирусы Avast и AVG, а также утилита для очистки и оптимизации системы CCleaner. Пользователям продуктов Avast придётся перейти на альтернативные решения других поставщиков или же искать способы обхода блокировки.

 Источник изображений: comss.ru

Источник изображений: comss.ru

Уход чешской компании из России стал заметен 29 января, когда появились сообщения пользователей, согласно которым мобильные и десктопные приложения Avast перестали функционировать. К примеру, при попытке запуска антивируса Avast появляется сообщение «К сожалению, этот продукт не поддерживается в вашем текущем местоположении», что говорит об отсутствии поддержки приложения в регионе.

В дополнение к этому российским производителям заблокирован доступ к сайтам Avast и AVG, в том числе avast.ru, который попросту отключили. Напомним, о намерении уйти с рынка России Avast объявила в марте 2022 года. Представители компании пока не комментируют полное отключение своих продуктов, но на странице техподдержки есть информация касательно данного вопроса.

«В связи с регулированием экспорта из-за недавних событий мы не можем предоставлять наши услуги и поддержку пользователям в России и Беларуси. Если вы являетесь текущим пользователем и используете наши продукты, их некоторые функции могут не работать, или вы можете столкнуться с ошибками при использовании наших сервисов и программ. Приносим свои извинения за возможные неудобства и благодарим вас за то, что являетесь нашим клиентом», — сказано в сообщении Avast.

Россияне на 61 % сократили покупки антивирусов, а Kaspersky захватил почти весь рынок

Российский рынок пользовательского программного обеспечения для кибербезопасности сократился в годовом выражении более чем на 60 %, сообщил «Коммерсант» со ссылкой на данные аналитиков. Резкое падение продаж ПО объясняется уходом крупных западных разработчиков, а также сокращением покупательной способности россиян и ростом использования пиратских копий Windows, пользователи которых загружают пиратские копии антивирусов или бесплатные утилиты.

 Источник изображения: Pixabay

Источник изображения: Pixabay

Согласно данным крупной аналитической компании (официально не работает в РФ, но продолжает поставлять информацию участникам рынка), с которыми ознакомился «Коммерсант», за 5 месяцев 2023 года объём продаж ПО для кибербезопасности в потребительском сегменте сократился на 61 % до 195 тыс. лицензий. В денежном выражении рынок сократился до 268 млн руб. (падение — 61 %).

Доля лидирующей «Лаборатории Касперского» выросла в штучном выражении с 80 % в прошлом году до 94 %, хотя число проданных лицензий сократилось на 54 %. У словацкой ESET падение в продажах в штуках и деньгах составило почти 100 %, у российской Dr.Web («Доктор Веб») — 14 и 25 %, у чешской Avast — 92 и 83 % соответственно. ESET и Avast официально покинули российский рынок после начала событий на Украине.

Вместе с тем выросли продажи в 1,5 раза в штучном и денежном выражении у Bitdefender — подразделения румынской SoftWin, занимающейся разработкой антивирусов, брандмауэров и спам-фильтров, тоже сообщавшего в прошлом году о приостановке работ в России. По мнению заместителя гендиректора «Гарда Технологий» Рустэма Хайретдинова, рост может быть связан с действиями ретейлеров, которые начали предлагать румынское ПО вместе с ноутбуками и другими устройствами. В свою очередь, директор департамента проектирования «Информзащиты» Анатолий Ромашев объясняет это эффектом низкой базы.

В «Лаборатории Касперского» заявили, что за январь–май продажи её продуктов для частных пользователей выросли в годовом выражении более чем на 10 %, что объясняется импортозамещением, а также пересмотром подхода к предоставлению кибербезопасности в начале года. В настоящее время компания предлагает частным пользователям киберзащиту в формате единого решения.

Рустэм Хайретдинов объясняет сокращение рынка пользовательской безопасности в том числе уходом из России продукции Microsoft, поскольку на ОС Windows приходится самая крупная часть рынка антивирусов. «С переходом пользователей на пиратские ОС и программы упал и спрос на официальные антивирусы — пользователи либо также стали скачивать их пиратские версии, либо использовать бесплатные программы, количество которых также растёт», — говорит эксперт.

Руководитель отдела технологической экспертизы департамента ИБ Softline Денис Чигин поддержал выводы Хайретдинова, отметив, что на падение спроса повлияла также общая для пользователей привычка экономить в условиях кризиса.

Очередной жертвой уязвимости файлообменника MOVEit оказался владелец антивирусов Avast и Norton

Очередной жертвой хакерской группировки Cl0p, активно эксплуатирующей уязвимость файлообменной платформы MOVEit стала компания Gen Digital, дочерними компаниями которой являются разработчики антивирусов Avast и Norton. В результате атаки добычей киберпреступников стали персональные данные сотрудников компании.

 Источник изображения: Gerd Altmann / pixabay.com

Источник изображения: Gerd Altmann / pixabay.com

Gen Digital подтвердила 20 июня, что в результате атаки вируса-вымогателя, эксплуатирующего уязвимость службы MOVEit, были похищены персональные данные сотрудников компании: имена, домашние адреса, рабочие идентификаторы и адреса электронной почты. В Gen Digital пояснили, что попытались устранить известные уязвимости в системе, но избежать атаки не смогли — при этом удалось избежать ущерба технологическим системам и службам компании, не были также похищены данные клиентов и партнёров.

В файлообменной службе MOVEit была обнаружена критическая уязвимость, которой присвоили номер CVE-2023-34362. Эксплуатация уязвимости осуществляется посредством SQL-инъекции, а специализируется на ней хакерская группировка Cl0p. Примечательно, что атака продолжилась после выпуска закрывающего уязвимость патча — пострадали уже более сотни организаций. В качестве дополнительных защитных мер рекомендуется «спрятать» приложение за VPN, прокси-сервером или посадочной страницей с формой авторизации.

Магазин Android-приложений RuStore получил встроенный антивирус

Компания VK сообщила о доступности пользователям магазина Android-приложений RuStore встроенного антивируса, с помощью которого можно проверить мобильное устройство на предмет наличия вредоносного ПО и цифровых угроз.

В основу новинки положены технологии «Лаборатории Касперского». Сканирование осуществляется автоматически в фоновом режиме раз в сутки. В случае обнаружения угрозы владельцу гаджета демонстрируется соответствующее уведомление. При желании интегрированный в RuStore антивирус можно отключить в настройках программы.

RuStore создан в качестве альтернативы Google Play Маркету, который ввёл ряд ограничений против российских пользователей и разработчиков Android-приложений. В настоящий момент в отечественном маркете представлены 5400 программных продуктов, рассортированных по 13 категориям — «Государственные», «Еда и напитки», «Здоровье и спорт», «Инструменты», «Медицина», «Новости», «Образование», «Объявления и услуги», «Покупки», «Развлечения», «Социальные», «Транспорт» и «Финансы». Имеется отдельный раздел с играми. Всего на платформе зарегистрированы 4000 издателей, в числе которых значатся как крупные игроки рынка ПО, так и индивидуальные разработчики.

По размеру аудитории RuStore является крупнейшим отечественным магазином приложений для платформы Android. По данным Mediascope, количество пользователей площадки составляет 10 миллионов человек старше 12 лет по всей России.

Samsung представила антивирус для защиты от вредоносов в сообщениях

Samsung представила антивирусную программу Message Guard для смартфонов и планшетов Galaxy — она направлена на защиту от атак типа «zero-click», которые осуществляются без каких-либо действий со стороны владельца заражённого устройства.

 Источник изображения: news.samsung.com

Источник изображения: news.samsung.com

Атаки этого типа в последние годы производятся всё чаще. Самым ярким примером стал скандал со шпионской программой NSO Pegasus, которая эксплуатировала уязвимость в Apple iMessage. Программа продавалась правительственным ведомствам разных стран и использовалась для слежения за неугодными журналистами, политиками и активистами. Осуществляемые через такие уязвимости взломы почти не оставляют следов на устройстве, и жертва может не знать, что оно скомпрометировано. А сквозное шифрование только усложняет задачу по выявлению программы-шпиона.

Samsung утверждает, что Message Guard предотвращает такие атаки ещё до их начала. Когда на устройство приходит сообщение, содержащее файл формата PNG, JPG/JPEG, GIF, ICO, WEBP, BMP и WBMP, антивирус изолирует этот файл, сканирует его на предмет вредоносного кода и при необходимости нейтрализует угрозу. Message Guard дебютировал с телефонами серии Galaxy S23 и в ближайшее время появится на других устройствах с очередным обновлением One UI 5.1. Антивирус защищает приложения Samsung Messages и Google Сообщения — поддержка других будет добавлена позже. Message Guard не нужно активировать отдельно — он работает «тихо и почти незаметно в фоновом режиме», добавили в Samsung.


window-new
Soft
Hard
Тренды 🔥