👾 APT-группировка Lazarus хорошо известна по взлому Sony Pictures и шифровальщику WannaCry, от которого пострадали более 150 стран. В последние годы группировка применяла руткит FudModule под Windows — его новую версию в традиционной рубрике Breaking Malware разобрал Алексей Вишняков, эксперт Standoff 365. В новом выпуске: • Рассмотрим уязвимость CVE-2024-21338, которая была обнаружена во встроенной подсистеме Windows — драйвере appid.sys утилиты AppLocker (недостаток был исправлен в феврале этого года). Группировка Lazarus использовала уязвимость для повышения привилегий. • Разберемся, как FudModule отключал драйвер мини-фильтр (обрабатывает операции над файловой системой), системные трассировщики ETW (система журналирования Windows) и останавливал процессы через таблицу описателей (прослойку, через которую ядро обеспечивает доступ к объекту). 🧐 Отметим, что этот хитрый руткит можно детектировать: его техники поддаются анализу. Например, с помощью мер контроля целостности критически важных объектов в ядре; эти меры были реализованы в нашей песочнице PT Sandbox еще два года назад. #PositiveTechnologies