Согласно последнему отчёту компании Sophos, злоумышленники в последнее время всё чаще используют новый хакерский инструмент, получивший название “AuKill”. Инструмент используется для отключения защитных EDR-систем на компьютерах жертв для последующего развертывания бэкдоров и программ-вымогателей в BYOVD-атаках.
Вредоносное ПО AuKill помещает уязвимый драйвер “procexp.sys” рядом с тем, который используется законной сторонней утилитой Process Explorer v16.32. Данная утилита помогает собирать информацию об активных процессах Windows. Далее вредонос “прикидывается” службой TrustedInstaller, установщиком модулей Windows, чтобы повысить свои полномочия до SYSTEM.
Для отключения программного обеспечения безопасности, AuKill запускает сразу несколько потоков, чтобы постоянно проверять и завершать процессы/службы EDR-решений, предотвращая их перезапуск.
В дикой природе (
Эксплуатация уязвимостей может включать в себя различные виды атак, таких как внедрение кода, использование ботнетов, фишинг, распространение вредоносного ПО и другие. Злоумышленники могут использовать эти атаки для кражи личных данных, разрушения систем, вымогательства или других недобросовестных действий.
Борьба с “эксплуатацией в дикой природе” включает обнаружение уязвимостей, разработку и применение патчей, обновление антивирусных баз данных и обучение пользователей основам кибербезопасности для уменьшения риска атак.