一项新的恶意活动正在使用合法但陈旧且易受攻击的 Avast Anti-Rootkit 驱动程序来逃避检测,并通过禁用安全组件来控制目标系统。
删除驱动程序的恶意软件是无特定家族的 AV Killer 变种。它带有来自不同供应商的安全进程的 142 个名称的硬编码列表。
由于驱动程序可以在内核级别运行,因此它可以访问操作系统的关键部分并允许恶意软件终止进程。
网络安全公司 Trellix 的安全研究人员最近发现了一种新的攻击,它利用自带易受攻击的驱动程序 (BYOVD) 方法和旧版本的反 rootkit 驱动程序来阻止目标系统上的安全产品。
他们解释道,一个名为 kill-floor.exe 的 恶意软件会将文件名为ntfs.bin 的易受攻击的驱动程序放入 默认的 Windows 用户文件夹中。接下来,该恶意软件会使用服务控制 (sc.exe) 创建服务"aswArPot.sys"并注册该驱动程序。
攻击链
然后,恶意软件使用与安全工具相关的 142 个进程的硬编码列表,并根据系统上活动进程的多个快照进行检查。
Trellix 研究员 Trishaan Kalra表示,当找到匹配项时,"恶意软件会创建一个句柄来引用已安装的 Avast 驱动程序"。
然后,它利用"DeviceIoControl"API 发出所需的 IOCTL 命令来终止它。
目标流程列表
如上图所示,该恶意软件针对各种安全解决方案的进程,包括 McAfee、Symantec(Broadcom)、Sophos、Avast、Trend Micro、Microsoft Defender、SentinelOne、ESET 和 BlackBerry 的进程。
在防御措施解除后,恶意软件可以执行恶意活动而不会向用户触发警报或被阻止。
目标流程列表
值得注意的是,该驱动程序和类似的程序是在 2022 年初由趋势科技的研究人员在调查AvosLocker 勒索软件攻击时观察到的。
2021 年 12 月,Stroz Friedberg 的事件响应服务团队发现 Cuba 勒索软件在攻击中使用了一个脚本,该脚本滥用 Avast 的 Anti-Rootkit 内核驱动程序中的一项功能来杀死受害者系统上的安全解决方案。
大约在同一时间,SentinelLabs 的研究人员发现了两个自 2016 年以来就存在的高严重性漏洞 (CVE-2022-26522 和 CVE-2022-26523),可以利用这些漏洞"提升权限,从而禁用安全产品"。
这两个问题于 2021 年 12 月被报告给 Avast,该公司通过安全更新悄悄解决了这些问题。
通过使用基于签名或哈希值来识别和阻止组件的规则(例如Trellix 推荐的这种规则),可以防止依赖于易受攻击的驱动程序的攻击。
微软也有解决方案,例如易受攻击的驱动程序阻止列表策略文件,该文件会随着每个主要 Windows 版本进行更新。
从 Windows 11 2022 开始,该列表默认在所有设备上处于活动状态。可以通过 App Control for Business 获取列表的最新版本。