黑客滥用 Avast 反 rootkit 驱动程序来禁用防御措施

一项新的恶意活动正在使用合法但陈旧且易受攻击的 Avast Anti-Rootkit 驱动程序来逃避检测,并通过禁用安全组件来控制目标系统。

删除驱动程序的恶意软件是无特定家族的 AV Killer 变种。它带有来自不同供应商的安全进程的 142 个名称的硬编码列表。

由于驱动程序可以在内核级别运行,因此它可以访问操作系统的关键部分并允许恶意软件终止进程。

网络安全公司 Trellix 的安全研究人员最近发现了一种新的攻击,它利用自带易受攻击的驱动程序 (BYOVD) 方法和旧版本的反 rootkit 驱动程序来阻止目标系统上的安全产品。

他们解释道,一个名为 kill-floor.exe 的 恶意软件会将文件名为ntfs.bin 的易受攻击的驱动程序放入 默认的 Windows 用户文件夹中。接下来,该恶意软件会使用服务控制 (sc.exe) 创建服务"aswArPot.sys"并注册该驱动程序。
攻击链

然后,恶意软件使用与安全工具相关的 142 个进程的硬编码列表,并根据系统上活动进程的多个快照进行检查。

Trellix 研究员 Trishaan Kalra表示,当找到匹配项时,"恶意软件会创建一个句柄来引用已安装的 Avast 驱动程序"。

然后,它利用"DeviceIoControl"API 发出所需的 IOCTL 命令来终止它。
目标流程列表

如上图所示,该恶意软件针对各种安全解决方案的进程,包括 McAfee、Symantec(Broadcom)、Sophos、Avast、Trend Micro、Microsoft Defender、SentinelOne、ESET 和 BlackBerry 的进程。

在防御措施解除后,恶意软件可以执行恶意活动而不会向用户触发警报或被阻止。
目标流程列表

值得注意的是,该驱动程序和类似的程序是在 2022 年初由趋势科技的研究人员在调查AvosLocker 勒索软件攻击时观察到的。

2021 年 12 月,Stroz Friedberg 的事件响应服务团队发现 Cuba 勒索软件在攻击中使用了一个脚本,该脚本滥用 Avast 的 Anti-Rootkit 内核驱动程序中的一项功能来杀死受害者系统上的安全解决方案。

大约在同一时间,SentinelLabs 的研究人员发现了两个自 2016 年以来就存在的高严重性漏洞 (CVE-2022-26522 和 CVE-2022-26523),可以利用这些漏洞"提升权限,从而禁用安全产品"。

这两个问题于 2021 年 12 月被报告给 Avast,该公司通过安全更新悄悄解决了这些问题。

通过使用基于签名或哈希值来识别和阻止组件的规则(例如Trellix 推荐的这种规则),可以防止依赖于易受攻击的驱动程序的攻击。

微软也有解决方案,例如易受攻击的驱动程序阻止列表策略文件,该文件会随着每个主要 Windows 版本进行更新。

从 Windows 11 2022 开始,该列表默认在所有设备上处于活动状态。可以通过 App Control for Business 获取列表的最新版本。

相关推荐
愚公搬代码1 小时前
【愚公系列】《人工智能70年》044-数据科学崛起(安全与隐私,硬币的另一面)
人工智能·安全
宁雨桥1 小时前
前端登录加密实战:从原理到落地,守护用户密码安全
前端·安全·状态模式
ZeroNews内网穿透2 小时前
新版发布!“零讯”微信小程序版本更新
运维·服务器·网络·python·安全·微信小程序·小程序
撰卢5 小时前
网络安全期末大论文
安全·web安全
王哥儿聊AI10 小时前
Lynx:新一代个性化视频生成模型,单图即可生成视频,重新定义身份一致性与视觉质量
人工智能·算法·安全·机器学习·音视频·软件工程
Coovally AI模型快速验证12 小时前
从避障到实时建图:机器学习如何让无人机更智能、更安全、更实用(附微型机载演示示例)
人工智能·深度学习·神经网络·学习·安全·机器学习·无人机
Gobysec12 小时前
Goby 漏洞安全通告|Spring Cloud Gateway 信息泄露漏洞(CVE-2025-41243)
spring boot·安全·cve-2025-41243
有点不太正常13 小时前
FlippedRAG——论文阅读
论文阅读·安全·大模型·rag
挨踢攻城15 小时前
Linux 安全 | 使用 iptables 测量流量
linux·服务器·安全·iptables·linux安全·厦门微思网络·测量流量
通信瓦工15 小时前
IEC 60598-1-2020灯具通用安全要求标准介绍
安全·灯具·标准下载