- Исследователи обнаружили новую кампанию, которая может отключить антивирусную защиту
- Вредоносное ПО использует законные драйверы Avast Anti-Rootkit для доступа на уровне ядра.
- После отключения антивируса вредоносное ПО может продолжать работать незамеченным.
Эксперты предупреждают, что хакеры используют законный драйвер Avast Anti-Rootkit, чтобы замаскировать свое вредоносное ПО, отключить антивирусную защиту и заразить системы.
Уязвимый драйвер использовался в серии атак с 2021 года, при этом первоначальные уязвимости существовали как минимум с 2016 года, как показало расследование. Трелликсзаявил и указал, что вредоносное ПО может использовать уязвимый драйвер для завершения процессов защитного программного обеспечения на уровне ядра.
Рассматриваемое вредоносное ПО принадлежит к семейству AV Killer, при этом для заражения системы используется вектор под названием «Bring-Your-Own-Vulnerable-Driver» (BYOVD).
Вирус может отключить антивирус
Trellix объяснил, как вредоносная программа использует файл «kill-floor.exe» для размещения уязвимого драйвера «ntfs.bin» в пользовательской папке Windows по умолчанию перед выполнением исполняемого файла Service Control (sc.exe), используемого для регистрации драйвера. служба «aswArPot.sys».
Вредоносная программа содержит жестко закодированный список из 142 процессов, используемых популярными продуктами безопасности, и предназначена для проверки снимков системных процессов на совпадение.
Затем вредоносная программа использует API «DeviceIoControl» для выполнения соответствующих команд для завершения процесса, не позволяя антивирусу обнаружить вредоносное ПО.
Жестко запрограммированный список включает процессы, принадлежащие ряду продуктов безопасности, включая McAfee, Avast, Microsoft Defender, BlackBerry, Sophos и многие другие.
Как ПипКомпьютер отмечает, что это не первый случай, когда атака BYOVD использует уязвимый драйвер Avast. Программа-вымогатель Avoslocker 2021 г. Атаки, которые злоупотребляют драйвером Avast Anti-Rookit. Sentinel Labs также обнаружила и сообщила о двух серьезных ошибках. выпущенный на Avast в том же году, который вскоре после этого был исправлен.