#ParsedReport #CompletenessHigh
02-12-2024

Unmasking Phishing: Strategies for identifying 0ktapus domains and beyond. TL;DR

https://www.wiz.io/blog/unmasking-phishing-strategies-for-identifying-0ktapus-domains

Report completeness: High

Actors/Campaigns:
0ktapus (motivation: financially_motivated)

Threats:
Mfa_bombing_technique
Sim_swapping_technique
Eightbait_tool
Typosquatting_technique

Industry:
Financial

Geo:
New york, Newyork

ChatGPT TTPs:
do not use without manual check
T1566, T1583

IOCs:
Email: 2
Domain: 185
Url: 4
File: 7
Hash: 37
IP: 16

Soft:
Twitter, servicenow, Android, Roblox, SendGrid

Wallets:
coinbase

Crypto:
ripple

Algorithms:
sha256, base64

Languages:
javascript, php

Platforms:
apple

Links:
have more...
https://github.com/wiz-sec-public/wiz-research-iocs/blob/main/reports/0ktapus\_dom\_templates.md
https://github.com/wiz-sec-public/wiz-research-iocs/blob/main/reports/0ktapus\_phishing.csv

#ParsedReport #ExtractedSchema

Classified images:
schema: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что фишинг, особенно нацеленный на облачные идентификаторы, является распространенной тактикой, используемой хакерами, такими как финансово мотивированный 0ktapus. В сообщении в блоге подробно описываются различные методы расследования фишинговых кампаний, включая анализ фишинговых целевых страниц, методы социальной инженерии и характеристики фишинговых доменов. Подчеркивается важность постоянной бдительности в области кибербезопасности, такой как мониторинг новых зарегистрированных доменов и применение многофакторной аутентификации, для эффективного обнаружения и устранения фишинговых угроз.
-----

Фишинг - распространенная тактика, используемая хакерами для незаконного получения идентификационных данных, при этом облачные идентификаторы являются основной целью. В блоге подробно описаны различные методы расследования фишинговых кампаний путем переключения между фишинговыми целевыми страницами с использованием хакера 0ktapus в качестве примера. 0ktapus, финансово мотивированный хакер, действующий с 2022 года, нацелился на облачные среды, используя методы социальной инженерии, такие как SMS-фишинг, голосовой фишинг и фишинговые целевые страницы.

Тактика, используемая 0ktapus, заключается в создании фишинговых целевых страниц, имитирующих законные страницы входа в целевые организации, для сбора учетных данных и получения первоначального доступа к сетям. Эти страницы часто размещаются на доменах с недолговечным сроком службы, и исторические данные указывают на то, что некоторые домены были устаревшими до того, как их стали использовать для фишинга с целью повышения репутации. 0ktapus также демонстрирует схему реактивации старой инфраструктуры и нацеливания на ранее скомпрометированных жертв в своих кампаниях.

Анализируя различные аспекты фишинговых кампаний, такие как шаблоны объектной модели документов (DOM), используемые 0ktapus, специфические характеристики фишинговых доменов, профилирование сети и анализ регистрации доменов, аналитики могут эффективно выявлять фишинговые домены и выявлять ранее неизвестную инфраструктуру. Снятие отпечатков пальцев с приложений, анализ тегов HTML-кода и изучение уникальных характеристик различных фишинговых наборов - вот некоторые из методов, рассмотренных в этой статье.

Отмечается, что 0ktapus адаптирует каждую фишинговую страницу к конкретной целевой организации, используя изображения или CSS-скрипты, полученные непосредственно с законных веб-сайтов жертв, что может помочь в выявлении новых неизвестных фишинговых доменов. В статье подчеркивается важность постоянной бдительности в области кибербезопасности, особенно для организаций, которые ранее подвергались взломам, для эффективного обнаружения фишинговых угроз и устранения их последствий.

Другие методы, упомянутые в сообщении в блоге, включают мониторинг новых зарегистрированных доменов у регистраторов, которые обычно используются хакерами, применение многофакторной аутентификации (MFA) и единого входа (SSO) для всех служб, а также использование таких инструментов, как UrlScan, для анализа комбинаций файлов и каталогов для выявления дополнительных фишинговых доменов. хакеры, подобные 0ktapus, часто используют определенные домены верхнего уровня, используют методы перенаправления и могут повторно активировать старую инфраструктуру для новых кампаний.

#ParsedReport #CompletenessHigh
02-12-2024

The Curious Case of an Egg-Cellent Resume

https://thedfirreport.com/2024/12/02/the-curious-case-of-an-egg-cellent-resume

Report completeness: High

Actors/Campaigns:
Magecart (motivation: financially_motivated)
Cobalt
Evilnum

Threats:
Cobalt_strike
More_eggs
Lolbin_technique
Pyramid_c2
Cloudflared_tool
Metasploit_tool
Sliver_c2_tool
Nltest_tool
Shadow_copies_delete_technique
Vssadmin_tool
Sharpshares_tool
Seatbelt_tool
Fog_ransomware
Adfind_tool
Veeamhax
Netscan_tool

CVEs:
CVE-2023-27532 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- veeam veeam backup & replication (11.0.1.1261, 12.0.0.1420)


TTPs:
Tactics: 9
Technics: 26

IOCs:
File: 38
Domain: 14
Command: 12
Path: 34
Url: 1
IP: 4
Hash: 31

Soft:
SoftPerfect Network Scanner, Linux, Internet Explorer, MSSQL, Windows Error Reporting, Windows Defender, Twitter, WhatsApp

Algorithms:
md5, sha1, sha256, 7zip, base64, zip

Win API:
DllInstall

Languages:
python, dotnet, jscript, powershell

Platforms:
apple, intel

YARA: Found
SIGMA: Found

Links:
https://github.com/djhohnstein/SharpShares
https://github.com/GhostPack/Seatbelt
have more...
https://github.com/naksyn/Pyramid

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - подробный отчет о сложной кампании кибератак, проведенной хакером TA4557, связанной с деятельностью FIN6. В отчете описываются различные этапы атаки, инструменты и приемы, используемые хакерами, их тактика уклонения, стратегии нацеливания и признаки компрометации. В нем подчеркивается, что злоумышленник использует такие вредоносные инструменты, как more_eggs, Cobalt Strike и Pyramid C2, а также их способность использовать уязвимости, осуществлять боковые перемещения и предоставлять постоянный доступ к скомпрометированным серверам. Проведенный анализ подчеркивает важность постоянного мониторинга, обмена информацией об угрозах и создания правил обнаружения для усиления защиты от APT.
-----

хакер TA4557, связанный с активностью FIN6, провел сложную кампанию по вторжению, включающую многоэтапные атаки с использованием вредоносного ПО more_eggs.

Первоначальный доступ был получен с помощью приманки для возобновления работы, а для запуска вредоносного ПО использовались такие символы, как ie4uinit.exe и msxsl.exe.

Cobalt Strike и инструмент C2 на базе Python под названием Pyramid использовались для последующей эксплуатации.

CVE-2023-27532 был использован для компрометации сервера Veeam с целью горизонтального перемещения и повышения привилегий.

Cloudflared был установлен для туннелирования RDP-трафика.

Proofpoint отслеживает TA4557 с 2018 года, отмечая использование ими бэкдора more_eggs и приманок, связанных с кандидатами на работу.

Были использованы различные методы, такие как дополнительная загрузка вредоносного inf-файла, удаление вредоносной библиотеки DLL и настройка сохранения запланированных задач.

Хакер занимался разведкой сети, выполнял сценарии PowerShell, пытался туннелировать трафик через сервисы Cloudflare и извлекал учетные данные из базы данных Veeam.

Были выявлены методы MITRE ATT и CK, включая создание учетной записи, повышение привилегий, манипулирование файлами, разведку сети и туннелирование протоколов.

Для защиты от изощренных хакеров, подобных TA4557, были рекомендованы постоянный мониторинг, обмен информацией об угрозах и разработка правил обнаружения.

#ParsedReport #CompletenessMedium
02-12-2024

Analysis of the recent incident of APT-C-36 (Blind Eagle) forging judicial department documents and submitting DcRat backdoor

https://mp.weixin.qq.com/s/DDCCjhBjUTa7Ia4Hggsa1A

Report completeness: Medium

Actors/Campaigns:
Blindeagle

Threats:
Dcrat
Ande_loader
Amsi_bypass_technique
Double_kill_vuln
Double_star_vuln

Victims:
Government departments, Large companies

Industry:
Financial, Government

Geo:
Mexico, Spanish, Turkey, Panama, Ecuador, America, Colombia

ChatGPT TTPs:
do not use without manual check
T1566.001, T1027.002, T1059.005, T1055.001, T1027

IOCs:
File: 4
Domain: 1
Hash: 9
Url: 8

Algorithms:
base64, zip

Win Services:
bits

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 9

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в деятельности APT-группы APT-C-36 (Blind Eagle), нацеленной на испаноязычные регионы, такие как Колумбия, их тактике, включающей фишинговые электронные письма с поддельными судебными документами и использование вредоносных инструментов, таких как DcRat, для удаленного управления и кражи данных. Кроме того, в тексте освещаются усилия 360 Threat Intelligence Center и 360 Advanced Threat Research Institute по защите от современных угроз и их исследованию, особенно в контексте национальной сетевой безопасности.
-----

Аналитический центр 360 Threat Intelligence Center - это выдающаяся платформа для обмена информацией об угрозах, ее анализа и раннего предупреждения, использующая обширные хранилища данных о безопасности 360 Security Brain для получения высококачественной аналитической информации. APT-C-36, известная как Blind Eagle, является группировкой APT, которая, как предполагается, происходит из Южной Америки и нацелена на цели в Колумбии и других регионах, таких как Эквадор и Панама. Эта организация с 2018 года проводит целенаправленные атаки против государственных органов, финансового сектора, страховых компаний и крупных компаний Колумбии. Недавно APT-C-36 начал использовать сжатые пакеты UUE для создания поддельных судебных документов, отправляемых юридическим лицам в Колумбии, что привело к внедрению бэкдора DcRat на компьютерах жертв.

Злоумышленники используют фишинговые электронные письма, чтобы обманом заставить пользователей загружать вредоносные файлы, замаскированные под пакеты со сжатием UUE/ZIP, со сторонних облачных платформ. Эти пакеты содержат самораспаковывающиеся EXE-файлы с испанскими названиями, которые выдаются за законные судебные документы. После выполнения эти файлы запускают вредоносные программы для выполнения скриптов и запутанные файлы скриптов (суффикс WSF) в каталоге %TEMP%. Запутанные скрипты содержат специальные символы, которые заменяются для выполнения вредоносных команд, создавая постоянную запланированную задачу с именем "google Update2024 Tas". На следующем этапе используется скрипт sostener.vbs, который продолжает стиль APT-C-36 с запутанным кодом и загружает полезные файлы, такие как AndeLoader и DcRat.

DcRat, также известный как Dark Crystal RAT, представляет собой модульный троян для удаленного управления с открытым исходным кодом, который наблюдается с 2018 года. Он обладает гибкостью в развертывании различных вредоносных функций, таких как регистрация с клавиатуры, скриншоты, кража данных из буфера обмена и выполнение команд. Троянец стратегически выбирает тактику противодействия отладке, основанную на архитектуре системы. Методология атаки APT-C-36 заключается в использовании файлов-ложных сообщений с испанскими названиями, имитирующих документы Министерства юстиции, в соответствии с прошлыми действиями. Методы обфускации и последующая полезная нагрузка совпадают с предыдущей тактикой группы, нацеленной на испаноязычных людей и группы в таких регионах, как Колумбия, Мексика, Эквадор и Турция.

Организация APT-C-36 (Blind Eagle) продолжает совершенствовать свои инструменты и цепочки атак, расширяя свои целевые группы и совершенствуя стратегии атак. 360 Advanced Threat Research Institute, в состав которого входят старшие эксперты по безопасности в рамках 360 Government and Enterprise Security Group, играет жизненно важную роль в обнаружении, защите от, смягчении и исследовании продвинутых угроз. Институт внес значительный вклад в выявление атак нулевого дня по всему миру и раскрытие информации о передовых действиях многочисленных национальных организаций APT, поддерживая усилия 360 по обеспечению национальной сетевой безопасности. Опыт и достижения команды получили признание как в индустрии кибербезопасности, так и за ее пределами.

#ParsedReport #CompletenessLow
02-12-2024

Financially Motivated Threat Actor Leveraged Google Docs and Weebly Services to Target Telecom and Financial Sectors

https://blog.eclecticiq.com/financially-motivated-threat-actor-leveraged-google-docs-and-weebly-services-to-target-telecom-and-financial-sectors

Report completeness: Low

Threats:
Sim_swapping_technique
Credential_harvesting_technique

Victims:
Telecommunications, Financial, Security professionals

Industry:
Financial, Telco

Geo:
Canadian, Emea, Amer, Australian

ChatGPT TTPs:
do not use without manual check
T1566, T1566.002, T1078, T1110.003, T1027

IOCs:
Domain: 3
Url: 20
IP: 1

Soft:
Burp Suite

Functions:
AJAX

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 2, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея:.
Аналитики EclecticIQ обнаружили сложную фишинговую кампанию, нацеленную на телекоммуникационный и финансовый секторы, которая использовала Google Docs и Weebly для эффективного обхода мер безопасности. Хакеры адаптировали фишинговые приманки под конкретные бренды, использовали динамический DNS для ротации поддоменов, использовали тактику обхода многофакторной аутентификации и использовали законные инструменты отслеживания в своих фишинговых наборах для контроля эффективности. Злоумышленники также нацелились на специалистов по безопасности, использовали замену SIM-карты для несанкционированного доступа и централизовали свою инфраструктуру на Weebly, чтобы скрыть фишинговый контент на законной платформе. Для противодействия таким угрозам организациям рекомендуется применять расширенные меры безопасности и обучать пользователей распознавать попытки фишинга.
-----

В конце октября 2024 года аналитики EclecticIQ раскрыли сложную фишинговую кампанию, нацеленную на телекоммуникационный и финансовый секторы.

Злоумышленники использовали документы Google для рассылки фишинговых ссылок, что приводило жертв к поддельным страницам входа в Weebly, чтобы эффективно избежать обнаружения.

Злоумышленники сочли Weebly привлекательным благодаря удобному интерфейсу для размещения фишинговых страниц, а также использованию динамического DNS для смены поддоменов, что затрудняло обнаружение.

Фишинговые приманки были разработаны специально для телекоммуникационного и финансового секторов, имитируя такие сервисы, как AT&T и финансовые учреждения США/Канады.

Злоумышленники использовали тактику обхода MFA и законные инструменты отслеживания, такие как Sentry.io и Datadog, для отслеживания взаимодействия с жертвами для уточнения результатов кампании.

Фишинговая кампания включала страницы на тему PICUS, предназначенные для специалистов по безопасности в Google Docs.

Злоумышленники использовали замену SIM-карты для перехвата SMS-кодов MFA, что подчеркивает необходимость усиления мер безопасности.

Фишинговые наборы полностью имитировали законные порталы входа в систему, использовали функции развертывания Weebly и общие IP-адреса / домены для маскировки фишинговых действий.

Рекомендации включают внедрение передовых решений для фильтрации электронной почты, упреждающий мониторинг DNS, обязательную многофакторную аутентификацию, обучение пользователей распознаванию фишинга и раннее обнаружение артефактов, обнаруженных с помощью фишинговых наборов.

#ParsedReport #CompletenessLow
03-12-2024

Inside Akira Ransomware s Rust Experiment

https://research.checkpoint.com/2024/inside-akira-ransomwares-rust-experiment

Report completeness: Low

Threats:
Akira_ransomware
Pridelocker
Babuk
Ransomware.wins

ChatGPT TTPs:
do not use without manual check
T1059, T1083, T1486

IOCs:
File: 1
Hash: 1

Soft:
Linux, ESXi, unix

Wallets:
harmony_wallet

Algorithms:
sha256, sosemanuk, curve25519

Functions:
available_parallelism, args, next, args_os, quota, count_ones, FnOnce

Languages:
fortran, rust

Platforms:
cross-platform

Links:
https://github.com/rust-lang/rust/blob/b11fbfbf351b94c7eecf9e6749a4544a6d4717fa/library/std/src/sys/pal/unix/thread.rs#L309
https://github.com/rust-lang/rust/blob/db034cee00570a9b82ea8b9e9e95221dbd745698/library/std/src/env.rs#L756
have more...
https://github.com/rust-lang/rust/blob/db034cee00570a9b82ea8b9e9e95221dbd745698/library/std/src/sys/random/linux.rs#L134

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - анализ Rust-версии программы-вымогателя Akira, нацеленной на серверы ESXi, с акцентом на идиомы Rust, стратегии компиляции, сложности ассемблерного кода, логику шифрования, стратегии проектирования, используемые авторами, проблемы при анализе двоичных файлов Rust и последствия применения методов антианализа.
-----

В тексте обсуждается анализ Rust-версии программы-вымогателя Akira, специально предназначенной для серверов ESXi. Анализ посвящен идиомам Rust, стратегиям компиляции и сложностям ассемблерного кода. В отчете излагаются принципы анализа двоичных файлов Rust и освещаются стратегии разработки, используемые авторами вредоносных программ.

Процесс управления программой-вымогателем включает в себя получение аргументов из командной строки, использование определенных функциональных возможностей Rust и использование библиотеки индикаторов для визуального представления статуса выполнения. Анализ кода вредоносного ПО выявляет сложные детали выбора дизайна и стратегий реализации, использованных авторами.

В тексте подчеркиваются сложности, с которыми приходится сталкиваться при анализе двоичных файлов Rust из-за агрессивного встраивания, а также проблемы, связанные с процессами оптимизации языка. В нем обсуждается интеграция сторонних библиотек, использование стандартного кода и применение методов антианализа, оставленных авторами вредоносных программ, экспериментирующими с Rust.

Логика шифрования вредоносной программы предполагает использование асимметричных и симметричных шифров, таких как curve25519 и SOSEMANUK, соответственно. Подробно описаны процесс шифрования, функции поиска файлов и генерация уведомлений о требовании выкупа, демонстрирующие возможности вредоносного ПО в отношении серверов ESXi и сред Linux.

Несмотря на высокую степень освоения Rust, его кроссплатформенная поддержка, эргономичность и доступность библиотек сделали его привлекательным языком для авторов вредоносных программ. Проведенный анализ подчеркивает необходимость в передовых инструментах для решения сложных задач, связанных с двоичными файлами Rust, особенно при работе с сегментами кода с глубокой встраиваемостью и сращиванием.

#ParsedReport #CompletenessMedium
03-12-2024

CrowdStrike Falcon Prevents Multiple Vulnerable Driver Attacks in Real-World Intrusion

https://www.crowdstrike.com/en-us/blog/falcon-prevents-vulnerable-driver-attacks-real-world-intrusion

Report completeness: Medium

Threats:
Byovd_technique
Edrkillshifter_tool
Robinhood
Gmer_tool
Mimikatz_tool

CVEs:
CVE-2018-19322 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- gigabyte aorus graphics engine (<1.57)
- gigabyte app center (le1.05.21)
- gigabyte oc guru ii (2.08)
- gigabyte xtreme gaming engine (<1.26)

CVE-2018-19321 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- gigabyte aorus graphics engine (<1.57)
- gigabyte app center (<19.0422.1)
- gigabyte oc guru ii (2.08)
- gigabyte xtreme gaming engine (<1.26)

CVE-2018-19320 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- gigabyte aorus graphics engine (<1.57)
- gigabyte app center (<19.0422.1)
- gigabyte oc guru ii (2.08)
- gigabyte xtreme gaming engine (<1.26)

CVE-2018-19323 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- gigabyte aorus graphics engine (<1.57)
- gigabyte gigabyte app center (le1.05.21)
- gigabyte oc guru ii (2.08)
- gigabyte xtreme gaming engine (<1.26)


ChatGPT TTPs:
do not use without manual check
T1562.001, T1562.001, T1105, T1021.001, T1218.011, T1106

IOCs:
File: 10
Path: 20
Registry: 1
Hash: 28

Soft:
Windows kernel, psexec, UNIX

Win API:
ZwTerminateProcess, WmiPrvSe

Languages:
powershell

Links:
https://github.com/gentilkiwi/mimikatz

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обсуждении атак с использованием собственных уязвимых драйверов (BYOVD) в области кибербезопасности, уделяя особое внимание злоумышленникам, использующим уязвимые драйверы ядра для обхода механизмов безопасности и получения глубокого доступа к операционной системе Windows, в частности, к продуктам обнаружения конечных точек и реагирования на них (EDR), таким как CrowdStrike Falcon sensor. В нем рассказывается о том, как злоумышленники используют уязвимые драйверы для выполнения привилегированных операций, обходят меры безопасности, такие как принудительное использование сигнатур драйверов, а также о важности комплексной телеметрии, разведывательных данных и передовых механизмов обнаружения для обнаружения и предотвращения таких атак. Кроме того, в тексте подчеркивается подход CrowdStrike к классификации и защите от злоупотреблений со стороны водителей, а также необходимость внедрения организациями таких функций, как "Предотвращение подозрительных процессов" и "Предотвращение загрузки драйверов", для усиления защиты от атак BYOVD.
-----

В тексте обсуждается растущая распространенность атак с использованием собственного уязвимого драйвера (BYOVD) в сфере кибербезопасности, особенно нацеленных на продукты обнаружения конечных точек и реагирования на них (EDR), такие как датчик CrowdStrike Falcon. Эти атаки связаны с тем, что злоумышленники загружают уязвимые драйверы ядра, чтобы обойти механизмы безопасности и получить глубокий доступ к операционной системе Windows.

Злоумышленники используют уязвимые драйверы для выполнения привилегированных операций, таких как отключение продуктов безопасности, обход защиты от несанкционированного доступа EDR или выполнение вредоносных действий, которые обычно не разрешаются системой. Несмотря на такие меры безопасности, как принудительное использование подписи драйвера (DSE), требующие цифровой подписи для загрузки драйвера, злоумышленники разработали стратегию BYOVD, позволяющую обойти эти меры защиты и использовать уязвимости драйвера в вредоносных целях.

В ходе конкретного инцидента злоумышленники попытались проникнуть в сеть компании, используя уязвимые драйверы и вредоносные двоичные файлы. Они пытались загрузить несколько известных уязвимых драйверов, таких как TfSysMon.sys и aswArPot.sys, для выполнения таких действий, как завершение защищенных процессов или повышение привилегий. Злоумышленники также использовали драйверы, которые можно использовать в качестве оружия, такие как ksapi64.sys, первоначально разработанные для законных целей, но перепрофилированные для вредоносных действий.

CrowdStrike классифицирует уязвимые драйверы на три категории: уязвимые, которые можно использовать в качестве оружия, и вредоносные. Уязвимые драйверы имеют программные недостатки, которые могут быть использованы, в то время как уязвимые драйверы могут быть использованы для вредоносных действий. Вредоносные драйверы, часто загружаемые вслед за уязвимым драйвером, выполняют такие действия, как отключение функций безопасности или сокрытие вредоносных процессов от средств обнаружения.

Для обнаружения и предотвращения атак BYOVD требуется комплексная телеметрия и аналитические данные для выявления новых уязвимых драйверов. В CrowdStrike работает команда инженеров-реинжинирингов, специализирующихся на уязвимых драйверах, для анализа и создания средств защиты от таких угроз. Внедрение таких функций, как "Предотвращение подозрительных процессов" и "Предотвращение загрузки драйверов" в Falcon Prevent, может повысить защиту от атак BYOVD, для чего требуется активная подписка и последняя версия датчика.

Используя передовые механизмы обнаружения и непрерывного мониторинга, организации могут усилить свою защиту от атак BYOVD и снизить риски, связанные с использованием вредоносных драйверов в своих сетях.