Badacze zajmujący się cyberbezpieczeństwem w Trellix odkryli, że hakerzy znaleźli nowy sposób na wyłączenie programów antywirusowych w systemach docelowych poprzez użycie legalnego, ale starego sterownika Avast. Atakujący wykorzystują lukę, która umożliwia sterownikowi zakończenie procesów na poziomie jądra.
Z informacji wynika, że w ataku wykorzystano metodę „przynieś swój własny podatny na ataki sterownik” (BYOVD). Aby uniemożliwić działanie różnych produktów zabezpieczających, atakujący wykorzystują starą wersję sterownika antyrootkitowego Avast. Szkodnik znany jako AV Killer instaluje sterownik o nazwie ntfs.bin w domyślnym folderze Windows użytkownika.
Po zainstalowaniu sterownika złośliwe oprogramowanie tworzy usługę aswArPot.sys przy użyciu narzędzia Kontrola usług (sc.exe). Następnie aktywne procesy systemu są sprawdzane z przygotowaną wcześniej listą 142 procesów powiązanych z aplikacjami antywirusowymi. „Kiedy wirus znajdzie dopasowanie, samodzielnie tworzy identyfikator w celu interakcji z zainstalowanym sterownikiem Avast” – wyjaśnia badaczka Trishaan Kalra z Trellix.
Następnie, korzystając z API DeviceIoControl, szkodliwe oprogramowanie wysyła polecenia IOCTL niezbędne do zakończenia docelowych procesów. Wśród celów ataku znajdują się programy antywirusowe wiodących firm, takich jak McAfee, Symantec, Sophos i inne. Jednocześnie metoda wyłączania umożliwia hakerom przeprowadzanie złośliwych działań bez powiadamiania użytkownika i blokowania go przed systemami bezpieczeństwa.
Warto zaznaczyć, że sama metoda jest stosunkowo archaiczna. Podobne przypadki odnotowano na początku 2022 roku podczas analizy ataków z wykorzystaniem ransomware AvosLocker.
W odpowiedzi na wykryte luki Avast wydał aktualizacje zabezpieczeń dla swojego sterownika, a Microsoft w celu ochrony przed takimi atakami proponuje stosowanie polityki blokowania podatnych sterowników, która jest aktywnie aktualizowana z każdą większą wersją systemu Windows.
