В сети появилась новая вредоносная программа которая для своих атак использует старую версию драйвера от Avast Anti-Rootkit, его задачи отключать антивирусные программы, тем самым делать атакуемые ПК беззащитными и захватывать контроль над ними. Вредоносное ПО называется "AV Killer" он обходит защиту, используя подход "BYOVD"
Новая вредоносная программа использует старый драйвер Avast Anti-Rootkit, чтобы избежать своего обнаружения с целью взять под контроль целевую систему, отключив компоненты безопасности.
Вредоносное ПО, которое эксплуатирует драйвер, поставляется с жестко запрограммированным списком из 142 названий процессов безопасности от различных вендоров антивирусных приложений.
Драйвер имеет возможность работать на уровне ядра, это обеспечивает ему доступ к критически важным частям операционной системы и дает ему возможность завершать интересующие его процессы.
Исследователи безопасности из компании Trellix недавно обнаружили новую атаку, которая использует подход "принеси свой собственный уязвимый драйвер" (bring-your-own-vulnerable-driver, BYOVD) со старой версией драйвера AVAST Anti-Rootkit для нейтрализации продуктов безопасности в атакуемой системе.
Они поясняют, что вредоносная программа с именем файла "kill-floor.exe" помещает уязвимый драйвер с именем файла ntfs.bin в папку пользователя Windows по умолчанию. После чего создается служба "aswArPot.sys" с помощью Service Control (sc.exe) и регистрируется драйвер.
Затем вредоносная программа использует список из в общей сложности 142 процессов, которые связанны с инструментами безопасности, и проверяет его по спискам активных процессов в системе.
Исследователь Trellix Тришаан Калра (Trishaan Kalra) ответил, что когда зловред обнаруживает совпадение по списку, "он создает дескриптор для ссылки на установленный драйвер Avast".
Затем зловред использует API "DeviceIoControl" для выдачи требуемых команд системного вызова (IOCTL) для завершения процесса защиты.
Зловред пытается блокироватьи завершить процессы антивирусов которые установлены в атакуемой системе. Среди них такие как: McAfee, Symantec , Sophos, Avast, Trend Micro, Microsoft Defender, Malwarebytes, Kaspersky, SentinelOne, ESET и BlackBerry и другие.
При отключенной защите вредоносное ПО может выполнять вредоносные действия, не вызывая оповещений и защитных блокировок.
Важно отметить что драйвер и основные структуры зловреда были обнаружены еще в начале 2022 года исследователями Trend Micro при расследовании атаки программы-вымогателя AvosLocker.
И в декабре 2021 года программа-вымогатель Cuba использовала в атаках скрипт, который злоупотреблял функцией в драйвере ядра Avast Anti-Rootkit для отключения решений безопасности в системах жертвы. В то же время исследователи SentinelLabs обнаружили сразу две уязвимости высокой степени серьезности (CVE-2022-26522 и CVE-2022-26523), которые присутствовали в продуктах AVAST еще с 2016 года Их можно было использовать "для повышения привилегий, что позволяло бы отключать продукты безопасности".
О проблемах сразу же сообщили в Avast и компания устранила их с помощью обновленного драйвера.
И вот недавно атаки с помощью Этой технологии атаки было зафиксировано вновь.
Но волноваться не стоит. Практически все антивирусные вендоры что есть в списке, уже эффективно обнаруживают и нейтрализуют данную заразу.
Но все же, советую регулярно обновлять систему и особенно антивирусное решение которое установлено у вас на компьютере.
С вами был Nazarovoru. Подписывайтесь, ставьте лайки, комментируйте.