Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Хакеры начали применять антируткит-драйвер Avast для отключения защиты

23
1 мин
В рамках новой киберпреступной кампании неизвестные хакеры начали использовать легитимный, но старый и уязвимый драйвер Avast Anti-Rootkit. Он применяется для обхода обнаружения средствами безопасности и получения контроля над целевой системой путём отключения защитных продуктов. Вредоносное ПО, сбрасывающее драйвер, является разновидностью AV Killer, не относящейся к какому-либо определённому семейству. Аналитики компании Trellix сообщили, что драйвер работает на уровне ядра, что обеспечивает доступ к критически важным частям операционной системы и позволяет вредоносному ПО завершать процессы. В ходе исследования эксперты по информационной безопасности выяснили, что вредоносное ПО с именем файла kill-floor.exe помещает уязвимый драйвер с именем файла ntfs.bin в папку пользователя по умолчанию на скомпрометированном устройстве Windows. Затем вредонос создаёт службу aswArPot.sys с помощью Service Control (sc.exe) и регистрирует драйвер. После этого вредоносное ПО использует жёстко запро
Изображение: Azamat E (unsplash)
Изображение: Azamat E (unsplash)

В рамках новой киберпреступной кампании неизвестные хакеры начали использовать легитимный, но старый и уязвимый драйвер Avast Anti-Rootkit. Он применяется для обхода обнаружения средствами безопасности и получения контроля над целевой системой путём отключения защитных продуктов. Вредоносное ПО, сбрасывающее драйвер, является разновидностью AV Killer, не относящейся к какому-либо определённому семейству.

Аналитики компании Trellix сообщили, что драйвер работает на уровне ядра, что обеспечивает доступ к критически важным частям операционной системы и позволяет вредоносному ПО завершать процессы.

В ходе исследования эксперты по информационной безопасности выяснили, что вредоносное ПО с именем файла kill-floor.exe помещает уязвимый драйвер с именем файла ntfs.bin в папку пользователя по умолчанию на скомпрометированном устройстве Windows. Затем вредонос создаёт службу aswArPot.sys с помощью Service Control (sc.exe) и регистрирует драйвер.

После этого вредоносное ПО использует жёстко запрограммированный список из 142 процессов, связанных с инструментами безопасности, и сравнивает его с несколькими снимками активных процессов в системе. Эксперт компании Trellix Тришаан Калра отметил, что при обнаружении совпадения «вредоносная программа создаёт идентификатор для ссылки на установленный драйвер Avast». Затем она применяет API DeviceIoControl для выполнения необходимых команд IOCTL для завершения этих процессов.

📷
📷

Как видно на скриншоте выше, вредоносное ПО атакует процессы различных решений безопасности, включая продукты от McAfee, Symantec (Broadcom), Sophos, Avast, Trend Micro, Microsoft Defender, SentinelOne, ESET и BlackBerry. При отключённой защите вредоносное ПО может выполнять свои действия, не вызывая оповещений у пользователя и не блокируясь.

Отмечается, что данный драйвер и аналогичные процедуры были обнаружены ещё в начале 2022 года исследователями компании Trend Micro в ходе расследования атаки вируса-вымогателя AvosLocker.

Оригинал публикации на сайте CISOCLUB: "Хакеры начали применять антируткит-драйвер Avast для отключения защиты".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.

Кибербезопасность
25,6 тыс интересуются