Złośliwe oprogramowanie Qilin i Warlock wykorzystuje technikę BYOVD (Bring Your Own Vulnerable Driver), aby wyłączyć ponad 300 narzędzi EDR (Endpoint Detection and Response) na zainfekowanych systemach. Napastnicy używają złośliwego DLL “msimg32.dll” do ładowania szyfrowanego komponentu EDR killer, który następnie wykorzystuje sterowniki takie jak “rwdrv.sys” i “hlpdrv.sys” do uzyskania dostępu do pamięci fizycznej i terminowania procesów zabezpieczeń, omijając mechanizmy obronne.
Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)