黑客滥用 Avast 反 rootkit 驱动程序来禁用防御措施

一项新的恶意活动正在使用合法但陈旧且易受攻击的 Avast Anti-Rootkit 驱动程序来逃避检测,并通过禁用安全组件来控制目标系统。

删除驱动程序的恶意软件是无特定家族的 AV Killer 变种。它带有来自不同供应商的安全进程的 142 个名称的硬编码列表。

由于驱动程序可以在内核级别运行,因此它可以访问操作系统的关键部分并允许恶意软件终止进程。

网络安全公司 Trellix 的安全研究人员最近发现了一种新的攻击,它利用自带易受攻击的驱动程序 (BYOVD) 方法和旧版本的反 rootkit 驱动程序来阻止目标系统上的安全产品。

他们解释道,一个名为 kill-floor.exe 的 恶意软件会将文件名为ntfs.bin 的易受攻击的驱动程序放入 默认的 Windows 用户文件夹中。接下来,该恶意软件会使用服务控制 (sc.exe) 创建服务"aswArPot.sys"并注册该驱动程序。
攻击链

然后,恶意软件使用与安全工具相关的 142 个进程的硬编码列表,并根据系统上活动进程的多个快照进行检查。

Trellix 研究员 Trishaan Kalra表示,当找到匹配项时,"恶意软件会创建一个句柄来引用已安装的 Avast 驱动程序"。

然后,它利用"DeviceIoControl"API 发出所需的 IOCTL 命令来终止它。
目标流程列表

如上图所示,该恶意软件针对各种安全解决方案的进程,包括 McAfee、Symantec(Broadcom)、Sophos、Avast、Trend Micro、Microsoft Defender、SentinelOne、ESET 和 BlackBerry 的进程。

在防御措施解除后,恶意软件可以执行恶意活动而不会向用户触发警报或被阻止。
目标流程列表

值得注意的是,该驱动程序和类似的程序是在 2022 年初由趋势科技的研究人员在调查AvosLocker 勒索软件攻击时观察到的。

2021 年 12 月,Stroz Friedberg 的事件响应服务团队发现 Cuba 勒索软件在攻击中使用了一个脚本,该脚本滥用 Avast 的 Anti-Rootkit 内核驱动程序中的一项功能来杀死受害者系统上的安全解决方案。

大约在同一时间,SentinelLabs 的研究人员发现了两个自 2016 年以来就存在的高严重性漏洞 (CVE-2022-26522 和 CVE-2022-26523),可以利用这些漏洞"提升权限,从而禁用安全产品"。

这两个问题于 2021 年 12 月被报告给 Avast,该公司通过安全更新悄悄解决了这些问题。

通过使用基于签名或哈希值来识别和阻止组件的规则(例如Trellix 推荐的这种规则),可以防止依赖于易受攻击的驱动程序的攻击。

微软也有解决方案,例如易受攻击的驱动程序阻止列表策略文件,该文件会随着每个主要 Windows 版本进行更新。

从 Windows 11 2022 开始,该列表默认在所有设备上处于活动状态。可以通过 App Control for Business 获取列表的最新版本。

相关推荐
骥龙21 分钟前
零信任架构:重塑现代企业安全基石
安全·架构
wanhengidc2 小时前
云手机可以息屏挂手游吗?
运维·网络·安全·游戏·智能手机
码熔burning2 小时前
Spring Security 深度学习(六): RESTful API 安全与 JWT
安全·spring·restful·springsecurity
m0_738120723 小时前
CTFshow系列——PHP特性Web93-96
开发语言·安全·web安全·php·ctfshow
Zacks_xdc4 小时前
【前端】使用Vercel部署前端项目,api转发到后端服务器
运维·服务器·前端·安全·react.js
盟接之桥6 小时前
盟接之桥说制造:在安全、确定与及时之间,构建品质、交期与反应速度的动态平衡
大数据·运维·安全·汽车·制造·devops
Suckerbin7 小时前
DarkHole: 2靶场渗透
笔记·安全·web安全·网络安全
喜葵7 小时前
前端安全防护深度实践:从XSS到供应链攻击的全面防御
前端·安全·xss
泰迪智能科技8 小时前
案例分享|企微智能会话风控系统:为尚丰盈铝业筑牢沟通安全防线
安全·企业微信
lingggggaaaa10 小时前
小迪安全v2023学习笔记(七十八讲)—— 数据库安全&Redis&CouchDB&H2database&未授权&CVE
redis·笔记·学习·算法·安全·网络安全·couchdb