Търсене
Close this search box.

Нова злонамерена кампания използва легитимен, но стар и уязвим драйвер Avast Anti-Rootkit, за да избегне откриването и да поеме контрола над целевата система, като деактивира компонентите за сигурност.

Злонамереният софтуер, който пуска драйвера, е вариант на AV Killer без конкретно семейство. Той идва с твърдо кодиран списък от 142 имена на процеси за сигурност от различни доставчици.

Тъй като драйверът може да работи на ниво ядро, той осигурява достъп до критични части на операционната система и позволява на зловредния софтуер да прекратява процеси.

Изследователи от компанията за киберсигурност Trellix наскоро откриха нова атака, която използва подхода bring-your-own-vulnerable-driver (BYOVD) със стара версия на антируткит драйвера, за да спре продуктите за сигурност в целевата система.

Те обясняват, че парче зловреден софтуер с име на файла kill-floor.exe пуска уязвимия драйвер с име на файла ntfs.bin в потребителската папка по подразбиране на Windows. След това зловредният софтуер създава услугата „aswArPot.sys“, като използва контрола на услугите (sc.exe), и регистрира драйвера.

След това зловредният софтуер използва твърдо кодиран списък от 142 процеса, свързани с инструменти за сигурност, и го проверява спрямо множество снимки на активните процеси в системата.

Изследователят от Trellix Тришаан Калра казва, че когато открие съвпадение, „зловредният софтуер създава дръжка за препратка към инсталирания драйвер на Avast“.

След това той използва API „DeviceIoControl“, за да издаде необходимите IOCTL команди за прекратяването му.

Зловредният софтуер се насочва към процеси от различни решения за сигурност, включително такива от McAfee, Symantec (Broadcom), Sophos, Avast, Trend Micro, Microsoft Defender, SentinelOne, ESET и BlackBerry.

При деактивирани защити злонамереният софтуер може да извършва злонамерени дейности, без да предизвиква предупреждения за потребителя или да бъде блокиран.

Заслужава да се отбележи, че драйверът и подобни процедури са наблюдавани в началото на 2022 г. от изследователи на Trend Micro, докато разследват атака с рансъмуер AvosLocker.

През декември 2021 г. екипът на Stroz Friedberg’s Incident Response Services установи, че рансъмуерът Cuba използва в атаките скрипт, който злоупотребява с функция в драйвера на ядрото на Avast Anti-Rootkit, за да убива решения за сигурност в системите на жертвите.

Приблизително по същото време изследователи от SentinelLabs откриха два недостатъка с висока степен на опасност (CVE-2022-26522 и CVE-2022-26523), съществуващи от 2016 г., които могат да бъдат използвани „за ескалиране на привилегиите, позволяващо да се деактивират продукти за сигурност“.

Двата проблема са докладвани на Avast през декември 2021 г. и компанията ги е отстранила безшумно с актуализации на сигурността.

Защитата от атаки, които разчитат на уязвими драйвери, е възможна чрез използване на правила, които могат да идентифицират и блокират компоненти въз основа на техните сигнатури или хешове, като например това, което препоръчва Trellix.

Microsoft също разполага с решения, като например файла с правила за блокиране на уязвими драйвери, който се актуализира при всяко голямо издание на Windows. От Windows 11 2022 списъкът е активен по подразбиране за всички устройства. Последната версия на списъка е възможна чрез App Control for Business.

Източник: По материали от Интернет

Подобни публикации

13 декември 2024

Silent Push набра 10 млн. долара за платформа з...

Фирмата за разузнаване на заплахи Silent Push е депозирала 10 млн. ...
13 декември 2024

Фишинг - тихият предвестник на пробивите

Фишингът е една от най-разпространените тактики, техники и процедур...
13 декември 2024

Фалшиви ИТ работници превеждат милиони на Север...

В четвъртък Министерството на правосъдието на САЩ обяви обвиненията...
12 декември 2024

Изследователи разбиват Microsoft Azure MFA за е...

Изследователи разбиха метод за многофакторно удостоверяване (MFA) в...
12 декември 2024

Apple пусна големи актуализации на сигурността ...

В Купертино денят на кръпките е сряда тихоокеанско време. Екипът за...
12 декември 2024

27 услуги за DDoS атаки са свалени от Европол

Международна операция на правоприлагащите органи, насочена срещу ра...
12 декември 2024

Ключове за разбиране на MDR, EDR, NDR, XDR (ЧАС...

Еволюция на решенията за откриване и реагиране (DR) През последното...
12 декември 2024

Пионерът в симетричната криптография се насочва...

Бъдещето, в което се използват квантови изчисления, не е далеч, но ...
12 декември 2024

Телевизията на шотландския парламент е изложена...

Дълбоките фалшификати се превръщат в заплаха за записите и видеопот...
Бъдете социални
Още по темата
11/12/2024

BadRAM пробива защитите на ...

Академични изследователи са разработили нова атака,...
11/12/2024

Кибератака поставя Krispy K...

Веригата за продажба на понички и...
11/12/2024

Демонстрация: Наръчник на к...

Чудили ли сте се как киберпрестъпниците...
Последно добавени
13/12/2024

Silent Push набра 10 млн. д...

Фирмата за разузнаване на заплахи Silent...
13/12/2024

Фишинг - тихият предвестник...

Фишингът е една от най-разпространените тактики,...
13/12/2024

Фалшиви ИТ работници превеж...

В четвъртък Министерството на правосъдието на...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!