恶意软件利用受信任的Avast Anti-RootKit驱动程序来禁用安全软件

阅读量35673

发布时间 : 2024-11-26 14:24:17

x
译文声明

本文是翻译文章,文章原作者 Waqas,文章来源:hackread

原文地址:https://hackread.com/malware-avast-anti-rootkit-driver-bypass-security/

译文仅供参考,具体内容表达以及含义原文为准。

恶意软件利用合法的 Avast 反 rootkit 驱动程序禁用安全软件。Trellix 研究人员发现了这一攻击并提供了缓解步骤。

摘要:

  • 恶意软件利用合法的 Avast Anti-Rootkit 驱动程序获得内核级访问权限。
  • 驱动程序被用来终止关键安全进程并夺取系统的控制权。
  • BYOVD(自带漏洞驱动程序)保护机制可防止基于驱动程序的攻击。
  • 可以部署专家规则来识别和阻止易受攻击的驱动程序。

Trellix 的网络安全研究人员发现了一种恶意活动,它利用合法的 Avast Anti-Rootkit 驱动程序 aswArPot.sys 来禁用安全软件并控制受感染的系统。

攻击如何运作:

该恶意软件被称为 “kill-floor.exe”,它首先将 aswArPot.sys 驱动程序放入一个看似无害的 Windows 目录,并将其伪装成 “ntfs.bin”。然后,它将驱动程序注册为服务,授予恶意软件内核级访问权限–这是系统权限的最高级别,允许它终止关键安全进程并控制系统。

Malware Exploits Avast Anti-Rootkit Driver to Bypass Security Software
该恶意软件包含一个硬编码的 142 个安全应用程序列表,它的目标是终止这些应用程序。恶意软件持续监控活动进程,并将其与该列表进行比较。当发现匹配时,恶意软件会使用 Avast Anti-Rootkit 驱动程序终止安全进程。

简单地说:Avast 驱动程序旨在清除恶意 rootkit,却无意中禁用了合法的安全软件。恶意软件利用这个可信的驱动程序来躲避检测,并在系统中悄无声息地运行。

技术分析

Trellix 对 Avast 驱动程序的技术分析揭示了负责终止安全进程的特定函数 “FUN_14001dc80”。该函数利用标准的 Windows 内核函数(KeAttachProcess 和 ZwTerminateProcess)进行终止,进一步将恶意活动掩盖为正常的系统操作。

自我保护

为防止此类基于驱动程序的攻击,Trellix 建议使用 BYOVD(自带脆弱驱动程序)保护机制。这些机制可以根据独特的签名或哈希值识别并阻止特定的易受攻击驱动程序。

一旦将这些规则集成到防病毒解决方案中,企业就能防止恶意软件利用合法驱动程序、提升权限或禁用安全措施。Trellix 还提供了一个特定的 BYOVD 专家规则,用于检测和阻止对 aswArPot.sys 驱动程序的恶意使用。

本文翻译自hackread 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66