Современные компьютеры на базе Windows часто используют встроенную защиту — Microsoft Defender. За годы она прошла значительную эволюцию и стала надежным инструментом для обнаружения и блокировки вредоносных программ. Однако злоумышленники нашли способ обойти эту защиту, используя легитимный драйвер Intel для настройки CPU — в рамках атаки, известной как «Bring Your Own Vulnerable Driver» (BYOVD).
Как злоумышленники отключают Defender через уязвимый драйвер
Обнаруженная с середины июля 2025 года методика позволяет злоумышленникам получить полный контроль над системой без использования уязвимостей в ПО или загрузки явно вредоносных файлов. Вместо этого они используют архитектуру драйверов Windows, которая допускает глубокий доступ к аппаратным компонентам.
Механизм атаки
Группа злоумышленников, известная как Akira, использует драйвер rwdrv.sys от утилиты для разгона процессора ThrottleStop. Этот драйвер загружается и позволяет злоумышленникам получить привилегии ядра Windows. После этого устанавливается второй вредоносный драйвер hlpdrv.sys, который через изменение системных настроек отключает Microsoft Defender, редактируя регистр.
- Ученые с нетерпением ждут возможности исследовать планету, похожую на Венеру, за 39 световых лет от Земли
-
Масштабный утечка данных PayPal: что делать, чтобы защитить свои личные сведения
- Редкая находка: как исчезнувший вид караибского морского котика помогает понять уникальность последних двух видов мутных тюленей
-
Эффективная поза «Коровье лицо»: как за неделю раскрыть гибкость бедер, ягодиц и плеч
Последствия и цели атак
После отключения Defender злоумышленники могут запускать вредоносные программы без препятствий. Они используют подобные схемы для кражи данных, установки скрытого удаленного доступа и распространения ransomware — программ, шифрующих файлы в организации.
Обнаружение и профилактика
Эксперты безопасности, в том числе специалисты из GuidePoint Security, разработали правила для обнаружения этого типа активности. Они рекомендуют системным администраторам активно следить за подобными индикаторами, применять фильтры и блокировки при появлении новых признаков угроз, а также скачивать программы только из проверенных источников.
Советы по защите
Несмотря на сложность атаки, есть меры, которые помогут снизить риски:
- Обновляйте Windows и все программы регулярно — это закрывает известные уязвимости.
- Используйте надежный антивирус с реальным временем мониторинга и защитой уровня ядра.
- Будьте осторожны при переходе по сомнительным ссылкам и скачивании файлов из непроверенных источников.
- Запрещайте выполнение команд или скриптов, которые вы не понимаете, особенно из неизвестных сайтов.
Обращение к пользователям и рекомендации
Для дополнительной защиты рекомендуется включить двухфакторную аутентификацию и использовать услуги по удалению личной информации из интернета. Это снизит риск попадания в руки злоумышленников, использующих утечки данных или кражу информации.
Постоянное обновление системы, внимательное отношение к безопасности — ключ к сохранению данных. Чем меньше доступной информации о вас в сети, тем сложнее злоумышленникам нанести вред.
Алексей "Gadgeteer" Беляев
Ваш персональный техно-стратег и цифровой шерпа в запутанных джунглях современных технологий. Он не только подвергает гаджеты самым суровым испытаниям, но и анализирует невидимые силы, движущие IT-индустрией. Его материалы — это не просто обзоры, а чёткая дорожная карта, которая помогает вам делать осознанный выбор и использовать технологии для улучшения жизни, а не наоборот.
