黑客滥用 Avast 反 rootkit 驱动程序来禁用防御措施

一项新的恶意活动正在使用合法但陈旧且易受攻击的 Avast Anti-Rootkit 驱动程序来逃避检测,并通过禁用安全组件来控制目标系统。

删除驱动程序的恶意软件是无特定家族的 AV Killer 变种。它带有来自不同供应商的安全进程的 142 个名称的硬编码列表。

由于驱动程序可以在内核级别运行,因此它可以访问操作系统的关键部分并允许恶意软件终止进程。

网络安全公司 Trellix 的安全研究人员最近发现了一种新的攻击,它利用自带易受攻击的驱动程序 (BYOVD) 方法和旧版本的反 rootkit 驱动程序来阻止目标系统上的安全产品。

他们解释道,一个名为 kill-floor.exe 的 恶意软件会将文件名为ntfs.bin 的易受攻击的驱动程序放入 默认的 Windows 用户文件夹中。接下来,该恶意软件会使用服务控制 (sc.exe) 创建服务"aswArPot.sys"并注册该驱动程序。
攻击链

然后,恶意软件使用与安全工具相关的 142 个进程的硬编码列表,并根据系统上活动进程的多个快照进行检查。

Trellix 研究员 Trishaan Kalra表示,当找到匹配项时,"恶意软件会创建一个句柄来引用已安装的 Avast 驱动程序"。

然后,它利用"DeviceIoControl"API 发出所需的 IOCTL 命令来终止它。
目标流程列表

如上图所示,该恶意软件针对各种安全解决方案的进程,包括 McAfee、Symantec(Broadcom)、Sophos、Avast、Trend Micro、Microsoft Defender、SentinelOne、ESET 和 BlackBerry 的进程。

在防御措施解除后,恶意软件可以执行恶意活动而不会向用户触发警报或被阻止。
目标流程列表

值得注意的是,该驱动程序和类似的程序是在 2022 年初由趋势科技的研究人员在调查AvosLocker 勒索软件攻击时观察到的。

2021 年 12 月,Stroz Friedberg 的事件响应服务团队发现 Cuba 勒索软件在攻击中使用了一个脚本,该脚本滥用 Avast 的 Anti-Rootkit 内核驱动程序中的一项功能来杀死受害者系统上的安全解决方案。

大约在同一时间,SentinelLabs 的研究人员发现了两个自 2016 年以来就存在的高严重性漏洞 (CVE-2022-26522 和 CVE-2022-26523),可以利用这些漏洞"提升权限,从而禁用安全产品"。

这两个问题于 2021 年 12 月被报告给 Avast,该公司通过安全更新悄悄解决了这些问题。

通过使用基于签名或哈希值来识别和阻止组件的规则(例如Trellix 推荐的这种规则),可以防止依赖于易受攻击的驱动程序的攻击。

微软也有解决方案,例如易受攻击的驱动程序阻止列表策略文件,该文件会随着每个主要 Windows 版本进行更新。

从 Windows 11 2022 开始,该列表默认在所有设备上处于活动状态。可以通过 App Control for Business 获取列表的最新版本。

相关推荐
不要影响我叠Q14 分钟前
windbg启动后寄存器窗口为空
安全
黑客呀1 小时前
网络安全的学习路线
学习·安全·web安全
黑客Ela2 小时前
linux 网络安全不完全笔记
网络·安全·web安全·网络安全
黑客呀2 小时前
网络安全设备Bypass
网络·安全·web安全
岛屿旅人2 小时前
2025-2026财年美国CISA国际战略规划(下)
网络·人工智能·安全·web安全·网络安全
永乐春秋2 小时前
WEB攻防-通用漏洞&文件上传&中间件解析漏洞&编辑器安全
安全·中间件
网络安全指导员3 小时前
[系统安全]PE文件头中的重定位表
网络·安全·系统安全
缘梦未来4 小时前
利用Hooka开源的多种功能shellcode加载器实现快速免杀火绒,静态360+360杀毒,微步查杀1,vt查杀7(教程)
安全·360·火绒安全
车载诊断技术5 小时前
电子电气架构 -- ASIL D安全实现策略
人工智能·安全·架构·汽车·软件工程·autosar