据Trellix的网络安全研究人员发现,一项新的恶意活动利用旧版且易受攻击的Avast Anti-Rootkit驱动程序,来逃避检测并禁用目标系统上的安全措施。这种策略被称为自带易受攻击的驱动程序(BYOVD)方法,涉及恶意软件丢弃易受攻击的驱动程序,从而获得内核级访问权限并终止关键安全进程。来源。该恶意软件被确定为AV Killer的变体,携带了硬编码的142个来自不同供应商的安全进程名称列表,包括McAfee、Symantec、Sophos、Avast、Trend Micro、Microsoft Defender、SentinelOne、ESET和BlackBerry。通过在内核级别运行,恶意软件可以有效禁用这些进程,使其能够在不发出警报或被阻止的情况下进行恶意活动。来源。 攻击从名为kill-floor.exe的恶意软件开始,该软件将驱动程序(ntfs.bin)放入默认的Windows用户文件夹中。然后,它使用服务控制(sc.exe)创建名为’aswArPot.sys’的服务来注册驱动程序。恶意软件会对系统上活动的进程进行拍摄,并将其与目标安全进程列表进行交叉引用。找到匹配项后,它使用“DeviceIoControl”API发送终止这些进程的命令,从而有效抵消系统的防御。来源。
