Угроза для безопасности Windows: удалённое отключение Defender с помощью легитимных драйверов
Современные компьютеры на базе Windows в основном полагаются на встроенную защиту — Microsoft Defender — как на первую линию обороны против вредоносных программ. За годы развития этот антивирус стал мощным и зачастую недооценённым инструментом, блокирующим широкий спектр угроз. Однако недавно обнаружена новая тактика злоумышленников, позволяющая полностью отключить защиту без использования известных уязвимостей или вредоносных файлов.
Как злоумышленники используют драйверы для обхода защиты
С мая 2025 года активны кампании, в которых хакеры используют так называемую атаку «Bring Your Own Vulnerable Driver» (BYOVD). В её рамках злоумышленники используют легитимный драйвер Intel для настройки процессора, известный как rwdrv.sys, который обычно применяется для оптимизации производительности системы. Этот драйвер загружается злоумышленниками и используется для получения полного доступа к ядру Windows.
Затем на систему устанавливается ещё один вредоносный драйвер — hlpdrv.sys, который изменяет параметры реестра, отключающие защиту Windows от шпионажа и вредоносных программ. В частности, он меняет значение DisableAntiSpyware, что позволяет злоумышленникам запускать любые вредоносные программы без риска обнаружения.
Что происходит после отключения Defender
После того как Defender отключён, злоумышленники получают возможность незаметно запускать ransomware, похищать данные или устанавливать скрытые удалённые доступы. Этот метод уже неоднократно фиксировался в активных кампаниях группы Akira, которая известна своей агрессивной тактикой атаки.
Связанные атаки и рекомендации по защите
Кроме атак на системы Windows, группа Akira также занимается атаками на VPN-устройства SonicWall. В этих случаях злоумышленники используют известную уязвимость CVE-2024-40766, позволяющую получить несанкционированный доступ. Компания SonicWall рекомендует ограничить доступ к VPN, включить многофакторную аутентификацию и отключить неиспользуемые аккаунты.
Атаки, связанные с Akira, часто включают кражу данных, создание скрытых каналов удалённого управления и запуск шифровальщиков. Врасположенных тактических приёмов злоумышленники всё чаще используют фальшивые сайты и поддельные ресурсы для распространения вредоносных программ.
Как защитить себя: советы экспертов
- Обновляйте операционную систему и все приложения регулярно, чтобы закрывать уязвимости.
- Используйте проверенное антивирусное программное обеспечение с функциями мониторинга ядра и защитой в реальном времени.
- Будьте осторожны при переходе по ссылкам, загрузке файлов и использовании виртуальных дисков. Открывайте только проверенные источники.
- Не запускайте команды или скрипты, которые не понимаете или получаете из сомнительных источников, так как это один из методов заражения.
- Обязательно включайте двухфакторную аутентификацию на всех аккаунтах для повышения уровня защиты.
Обнаружение и предотвращение атак
Исследователи создали специальные правила для систем обнаружения вредоносных действий, чтобы помочь администраторам выявлять подобные атаки. В число рекомендаций входит контроль за файлами, сервисами и хэш-суммами, а также использование фильтров и блокировок по мере появления новых индикаторов компрометации.
Почему важно знать о таких уязвимостях
Демонстрация использования легитимных драйверов как инструмента атаки указывает на более глубокие проблемы безопасности Windows. В случае с драйвером rwdrv.sys, который предназначен для оптимизации работы процессора, злоумышленники умело используют его уязвимость, потому что система воспринимает его как доверенный компонент. Это показывает, что даже встроенные средства защиты требуют постоянного совершенствования и усиления.
Что делать, чтобы снизить риски
Обеспечьте наличие актуальных обновлений, используйте многофакторную аутентификацию и избегайте загрузки файлов из ненадёжных источников. В случае подозрений о компрометации рекомендуется провести полное сканирование системы и при необходимости обратиться к специалистам по кибербезопасности.
Артем Мельник
Артем — эксперт по ИТ и новым технологиям, освещает стартапы, кибербезопасность и разработки украинских программистов. Ранее работал в сфере разработки ПО.