威胁组织利用过时的 Avast Anti-Rootkit 驱动程序来逃避检测、禁用安全工具并破坏目标系统。
Trellix 研究人员发现了一个恶意软件活动,该活动滥用易受攻击的 Avast Anti-Rootkit 驱动程序 (aswArPot.sys) 来获取对目标系统的更深入访问权限、禁用安全解决方案并获得系统控制权。
这种策略会破坏受信任的内核模式驱动程序,将其转变为终止保护进程和破坏受感染系统的工具。
威胁组织针对多种安全产品,包括 Avast、ESET、McAfee、Microsoft Defender、SentinelOne、Sophos 和 Trend Micro。
Trellix 发布的报告指出:“恶意软件 (kill-floor.exe) 的感染链始于释放合法的 Avast Anti-Rootkit 驱动程序 (aswArPot.sys)。
恶意软件将合法的内核驱动程序作为‘ntfs.bin’释放到‘ C:\Users\Default\AppData\Local\Microsoft\Windows ’目录中。”
“一旦合法的内核驱动程序被删除,恶意软件就会使用服务控制 (sc.exe) 创建服务“aswArPot.sys”,该服务会注册驱动程序以执行进一步的操作。安装并运行驱动程序后,恶意软件将获得内核级系统访问权限,从而能够终止关键安全进程并控制系统。”
Avast Anti-Rootkit 驱动程序 aswArPot.sys 在内核级别运行,允许恶意软件获得对操作系统的不受限制的访问权限。
该恶意软件包含与各个供应商的产品相关的 142 个硬编码安全进程名称列表。
安全专家建议组织实施 BYOVD (自带易受攻击的驱动程序)保护,以保护系统免受使用易受攻击的驱动程序的攻击。
这些攻击利用合法但有缺陷的驱动程序来获得内核级访问权限,从而绕过安全性。部署专家规则以根据其独特签名或哈希值检测和阻止此类驱动程序至关重要。
转自军哥网络安全读报,原文链接:https://mp.weixin.qq.com/s/eWCIXhbkY91DxibBwbauXQ
暂无评论内容