بدافزار درایور ماوس گیمینگ برای غیرفعال‌سازی آنتی‌ویروس‌ها استفاده می‌شود

محققان امنیت سایبری یک کمپین بدافزاری پیچیده را شناسایی کرده‌اند که در آن، یک درایور نرم‌افزاری متعلق به ماوس‌های گیمینگ که دارای امضای دیجیتال معتبر است، برای غیرفعال کردن نرم‌افزارهای امنیتی و آنتی‌ویروس‌ها مورد سوءاستفاده قرار می‌گیرد. این حمله که تکنیک "از درایور آسیب‌پذیر خود استفاده کن" (BYOVD) را به کار می‌گیرد، به مهاجمان اجازه می‌دهد تا با استفاده از یک ابزار قانونی، مکانیزم‌های دفاعی سیستم را از کار بیندازند و کنترل کامل سیستم قربانی را به دست بگیرند.

جزئیات آسیب‌پذیری چیست؟

• شناسه: CVE-2024-5689

• نوع تهدید: سوءاستفاده از درایور قانونی برای غیرفعال‌سازی محصولات امنیتی (BYOVD - Bring Your Own Vulnerable Driver)

• تأثیر: غیرفعال شدن کامل آنتی‌ویروس و نرم‌افزارهای امنیتی، اجرای کدهای مخرب با بالاترین سطح دسترسی (Kernel-level).

• نرم‌افزار تحت تأثیر: درایور mousedr.sys مرتبط با نرم‌افزار ماوس گیمینگ برند "Bloody" متعلق به شرکت A4Tech.

• روش بهره‌برداری: استفاده از یک بدافزار لودر (Loader) برای فراخوانی و سوءاستفاده از توابع آسیب‌پذیر درایور قانونی.

• وضعیت: بهره‌برداری فعال در حملات سایبری مشاهده شده است.

نقص چگونه عمل می‌کند؟

این حمله چندمرحله‌ای به روش زیر عمل می‌کند:

1. نفوذ اولیه: مهاجمان از طریق روش‌های معمول مانند فیشینگ یا دانلودهای آلوده، یک بدافزار لودر را روی سیستم قربانی اجرا می‌کنند.

2. نصب درایور قانونی: بدافزار، درایور قانونی و امضاشده mousedr.sys را که متعلق به ماوس‌های گیمینگ است، روی سیستم نصب می‌کند. از آنجایی که درایور دارای امضای دیجیتال معتبر مایکروسافت است، سیستم‌عامل و نرم‌افزارهای امنیتی آن را یک فایل سالم تشخیص می‌دهند.

3. فراخوانی تابع آسیب‌پذیر: بدافزار از یک نقص مشخص در این درایور (CVE-2024-5689) سوءاستفاده می‌کند تا به هسته سیستم‌عامل (Kernel) دسترسی پیدا کند.

4. غیرفعال کردن امنیت: با دسترسی به سطح هسته، بدافزار فرآیندهای (processes) مربوط به نرم‌افزارهای امنیتی و آنتی‌ویروس‌ها را خاتمه می‌دهد و آن‌ها را به طور کامل از کار می‌اندازد.

5. اجرای بدافزار اصلی: پس از غیرفعال شدن مکانیزم‌های دفاعی، مهاجمان بدافزار اصلی خود (مانند باج‌افزار یا ابزارهای جاسوسی) را روی سیستم اجرا می‌کنند.

وضعیت فعلی تهدید

این تکنیک به صورت فعال در حملات سایبری مشاهده شده است. مهاجمان با سوءاستفاده از اعتماد سیستم‌عامل به درایورهای امضاشده، به راحتی می‌توانند محصولات امنیتی ۱۱ شرکت مختلف از جمله Avast, AVG, Bitdefender, Comodo, ESET, F-Secure, Kaspersky, Malwarebytes, McAfee, Panda و Windows Defender را غیرفعال کنند. مایکروسافت در حال بررسی این تهدید است تا درایور مخرب را به لیست سیاه خود اضافه کند، اما تا آن زمان، سیستم‌ها همچنان در معرض خطر هستند.

چگونه از خود محافظت کنیم؟

• به‌روزرسانی ویندوز: اطمینان حاصل کنید که فهرست مسدودسازی درایورهای آسیب‌پذیر ویندوز (Windows vulnerable driver blocklist) شما به‌روز است.

• استفاده از راهکارهای امنیتی پیشرفته: از نرم‌افزارهای امنیتی استفاده کنید که قابلیت محافظت از دستکاری (Tamper Protection) دارند و می‌توانند از خاتمه یافتن فرآیندهای خود توسط عوامل خارجی جلوگیری کنند.

• محدودیت نصب درایور: در صورت امکان، با استفاده از سیاست‌های گروهی (Group Policies)، نصب درایورهای جدید توسط کاربران غیرمجاز را محدود کنید.

• افزایش آگاهی: به کاربران در مورد خطرات دانلود و نصب نرم‌افزار از منابع نامعتبر آموزش دهید، حتی اگر به نظر قانونی برسند.

چرا این تهدید مهم است؟

اهمیت این تهدید در روش هوشمندانه آن برای دور زدن مکانیزم‌های امنیتی نهفته است. مهاجمان به جای تلاش برای مبارزه مستقیم با آنتی‌ویروس، از یک ابزار قانونی و مورد اعتماد (یک درایور امضاشده) به عنوان اسب تروآ برای نفوذ به عمیق‌ترین لایه‌های سیستم‌عامل و خلع سلاح آن استفاده می‌کنند. این رویکرد، تشخیص و جلوگیری از حمله را بسیار دشوار می‌کند و نشان می‌دهد که حتی نرم‌افزارهای به ظاهر بی‌خطر نیز می‌توانند به یک سلاح سایبری قدرتمند تبدیل شوند.