黑客滥用 Avast 反 rootkit 驱动程序来禁用防御措施

一项新的恶意活动正在使用合法但陈旧且易受攻击的 Avast Anti-Rootkit 驱动程序来逃避检测,并通过禁用安全组件来控制目标系统。

删除驱动程序的恶意软件是无特定家族的 AV Killer 变种。它带有来自不同供应商的安全进程的 142 个名称的硬编码列表。

由于驱动程序可以在内核级别运行,因此它可以访问操作系统的关键部分并允许恶意软件终止进程。

网络安全公司 Trellix 的安全研究人员最近发现了一种新的攻击,它利用自带易受攻击的驱动程序 (BYOVD) 方法和旧版本的反 rootkit 驱动程序来阻止目标系统上的安全产品。

他们解释道,一个名为 kill-floor.exe 的 恶意软件会将文件名为ntfs.bin 的易受攻击的驱动程序放入 默认的 Windows 用户文件夹中。接下来,该恶意软件会使用服务控制 (sc.exe) 创建服务"aswArPot.sys"并注册该驱动程序。
攻击链

然后,恶意软件使用与安全工具相关的 142 个进程的硬编码列表,并根据系统上活动进程的多个快照进行检查。

Trellix 研究员 Trishaan Kalra表示,当找到匹配项时,"恶意软件会创建一个句柄来引用已安装的 Avast 驱动程序"。

然后,它利用"DeviceIoControl"API 发出所需的 IOCTL 命令来终止它。
目标流程列表

如上图所示,该恶意软件针对各种安全解决方案的进程,包括 McAfee、Symantec(Broadcom)、Sophos、Avast、Trend Micro、Microsoft Defender、SentinelOne、ESET 和 BlackBerry 的进程。

在防御措施解除后,恶意软件可以执行恶意活动而不会向用户触发警报或被阻止。
目标流程列表

值得注意的是,该驱动程序和类似的程序是在 2022 年初由趋势科技的研究人员在调查AvosLocker 勒索软件攻击时观察到的。

2021 年 12 月,Stroz Friedberg 的事件响应服务团队发现 Cuba 勒索软件在攻击中使用了一个脚本,该脚本滥用 Avast 的 Anti-Rootkit 内核驱动程序中的一项功能来杀死受害者系统上的安全解决方案。

大约在同一时间,SentinelLabs 的研究人员发现了两个自 2016 年以来就存在的高严重性漏洞 (CVE-2022-26522 和 CVE-2022-26523),可以利用这些漏洞"提升权限,从而禁用安全产品"。

这两个问题于 2021 年 12 月被报告给 Avast,该公司通过安全更新悄悄解决了这些问题。

通过使用基于签名或哈希值来识别和阻止组件的规则(例如Trellix 推荐的这种规则),可以防止依赖于易受攻击的驱动程序的攻击。

微软也有解决方案,例如易受攻击的驱动程序阻止列表策略文件,该文件会随着每个主要 Windows 版本进行更新。

从 Windows 11 2022 开始,该列表默认在所有设备上处于活动状态。可以通过 App Control for Business 获取列表的最新版本。

相关推荐
不惑_几秒前
List 集合安全操作指南:避免 ConcurrentModificationException 与提升性能
数据结构·安全·list
老猿讲编程3 小时前
整车厂如何规划构建汽车集成安全团队的软件研发能力
安全·汽车
黑客老陈4 小时前
面试经验分享 | 北京渗透测试岗位
运维·服务器·经验分享·安全·web安全·面试·职场和发展
车载诊断技术8 小时前
电子电气架构 --- 什么是EPS?
网络·人工智能·安全·架构·汽车·需求分析
brrdg_sefg12 小时前
WEB 漏洞 - 文件包含漏洞深度解析
前端·网络·安全
浏览器爱好者13 小时前
谷歌浏览器的网络安全检测工具介绍
chrome·安全
独行soc14 小时前
#渗透测试#漏洞挖掘#红蓝攻防#护网#sql注入介绍11基于XML的SQL注入(XML-Based SQL Injection)
数据库·安全·web安全·漏洞挖掘·sql注入·hw·xml注入
安全方案17 小时前
如何增强网络安全意识?(附培训PPT资料)
网络·安全·web安全
H4_9Y17 小时前
顶顶通呼叫中心中间件mod_cti模块安全增强,预防盗打风险(mod_cti基于FreeSWITCH)
安全·中间件