Угроза для пользователей Windows: удалённое отключение Defender с помощью легитимных драйверов
В современном мире большинство ПК на базе Windows используют встроенную защиту — Microsoft Defender. За годы развития он превратился в мощный и зачастую недооценённый антивирус, способный блокировать широкий спектр угроз. Однако недавно обнаружена новая тактика злоумышленников, позволяющая полностью отключить Defender, используя законный драйвер для настройки процессора Intel.
Как злоумышленники используют легитимные драйверы для атаки
Соединяя уязвимость драйвера rwdrv.sys, разработанного для оптимизации работы процессора, хакеры создают опасную схему атаки. Этот драйвер изначально предназначен для повышения производительности и считается безопасным, что позволяет системе его пропускать без вопросов.
Злоумышленники загружают этот драйвер, получают доступ к ядру системы и устанавливают второй, вредоносный драйвер hlpdrv.sys. Он изменяет настройки реестра, отключая защиту от шпионского ПО, что делает систему уязвимой и позволяет запускать вредоносное ПО без обнаружения.
Активное использование атаки и последствия
Этот метод уже активно применяется группой злоумышленников, известной как Akira, начиная с середины июля 2025 года. Они используют его для запуска кампаний с вымогательным ПО, кражи данных и установки скрытых удалённых доступов.
После отключения Defender злоумышленники могут свободно распространять вирусы, шифровать файлы и устраивать масштабные атаки внутри организаций.
Связанные угрозы и рекомендации по защите
Кроме отключения Defender, группа Akira занимается взломом устройств SonicWall VPN, используя известную уязвимость CVE-2024-40766. Вендор рекомендует ограничить доступ к VPN, включить двухфакторную аутентификацию и отключить ненужные аккаунты.
Специалисты советуют внимательно следить за системами, применять фильтры и блокировать подозрительные файлы. Обновляйте операционную систему и всё программное обеспечение, чтобы устранить известные уязвимости.
Как защитить себя от подобных атак
- Используйте современный антивирус с реальным временем защиты и мониторингом ядра.
- Обновляйте системы и приложения регулярно, чтобы закрывать дыры в безопасности.
- Будьте осторожны при открытии неизвестных ссылок или скачивании файлов из непроверенных источников.
- Не запускайте командные скрипты или программы, которые вам непонятны или получены из сомнительных сайтов.
- Включите двухфакторную аутентификацию на всех важных аккаунтах.
Общая уязвимость: легитимные драйверы как путь к атакам
Обнаруженная уязвимость показывает, что драйверы, предназначенные для безобидных задач, могут стать инструментом для обхода защиты. В данном случае Windows не фильтрует использование доверенных драйверов, что даёт злоумышленникам окно для манипуляций.
Важно, чтобы Microsoft и разработчики драйверов уделяли больше внимания безопасности и контролю за использованием таких компонентов.
Дарья Тимошенко
Автор. Технологический обозреватель. Пишет о цифровых трендах, инновациях и гаджетах. Разбирает сложное просто, следит за будущим уже сегодня. Все посты