Нова злонамерена кампания използва легитимен, но стар и уязвим драйвер Avast Anti-Rootkit, за да избегне откриването и да поеме контрола над целевата система, като деактивира компонентите за сигурност.
Злонамереният софтуер, който пуска драйвера, е вариант на AV Killer без конкретно семейство. Той идва с твърдо кодиран списък от 142 имена на процеси за сигурност от различни доставчици.
Тъй като драйверът може да работи на ниво ядро, той осигурява достъп до критични части на операционната система и позволява на зловредния софтуер да прекратява процеси.
Изследователи от компанията за киберсигурност Trellix наскоро откриха нова атака, която използва подхода bring-your-own-vulnerable-driver (BYOVD) със стара версия на антируткит драйвера, за да спре продуктите за сигурност в целевата система.
Те обясняват, че парче зловреден софтуер с име на файла kill-floor.exe пуска уязвимия драйвер с име на файла ntfs.bin в потребителската папка по подразбиране на Windows. След това зловредният софтуер създава услугата „aswArPot.sys“, като използва контрола на услугите (sc.exe), и регистрира драйвера.
След това зловредният софтуер използва твърдо кодиран списък от 142 процеса, свързани с инструменти за сигурност, и го проверява спрямо множество снимки на активните процеси в системата.
Изследователят от Trellix Тришаан Калра казва, че когато открие съвпадение, „зловредният софтуер създава дръжка за препратка към инсталирания драйвер на Avast“.
След това той използва API „DeviceIoControl“, за да издаде необходимите IOCTL команди за прекратяването му.
Зловредният софтуер се насочва към процеси от различни решения за сигурност, включително такива от McAfee, Symantec (Broadcom), Sophos, Avast, Trend Micro, Microsoft Defender, SentinelOne, ESET и BlackBerry.
При деактивирани защити злонамереният софтуер може да извършва злонамерени дейности, без да предизвиква предупреждения за потребителя или да бъде блокиран.
Заслужава да се отбележи, че драйверът и подобни процедури са наблюдавани в началото на 2022 г. от изследователи на Trend Micro, докато разследват атака с рансъмуер AvosLocker.
През декември 2021 г. екипът на Stroz Friedberg’s Incident Response Services установи, че рансъмуерът Cuba използва в атаките скрипт, който злоупотребява с функция в драйвера на ядрото на Avast Anti-Rootkit, за да убива решения за сигурност в системите на жертвите.
Приблизително по същото време изследователи от SentinelLabs откриха два недостатъка с висока степен на опасност (CVE-2022-26522 и CVE-2022-26523), съществуващи от 2016 г., които могат да бъдат използвани „за ескалиране на привилегиите, позволяващо да се деактивират продукти за сигурност“.
Двата проблема са докладвани на Avast през декември 2021 г. и компанията ги е отстранила безшумно с актуализации на сигурността.
Защитата от атаки, които разчитат на уязвими драйвери, е възможна чрез използване на правила, които могат да идентифицират и блокират компоненти въз основа на техните сигнатури или хешове, като например това, което препоръчва Trellix.
Microsoft също разполага с решения, като например файла с правила за блокиране на уязвими драйвери, който се актуализира при всяко голямо издание на Windows. От Windows 11 2022 списъкът е активен по подразбиране за всички устройства. Последната версия на списъка е възможна чрез App Control for Business.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.