恶意软件利用合法的 Avast 反 rootkit 驱动程序禁用安全软件。Trellix 研究人员发现了这一攻击并提供了缓解步骤。
摘要:
- 恶意软件利用合法的 Avast Anti-Rootkit 驱动程序获得内核级访问权限。
- 驱动程序被用来终止关键安全进程并夺取系统的控制权。
- BYOVD(自带漏洞驱动程序)保护机制可防止基于驱动程序的攻击。
- 可以部署专家规则来识别和阻止易受攻击的驱动程序。
Trellix 的网络安全研究人员发现了一种恶意活动,它利用合法的 Avast Anti-Rootkit 驱动程序 aswArPot.sys 来禁用安全软件并控制受感染的系统。
攻击如何运作:
该恶意软件被称为 “kill-floor.exe”,它首先将 aswArPot.sys 驱动程序放入一个看似无害的 Windows 目录,并将其伪装成 “ntfs.bin”。然后,它将驱动程序注册为服务,授予恶意软件内核级访问权限–这是系统权限的最高级别,允许它终止关键安全进程并控制系统。
该恶意软件包含一个硬编码的 142 个安全应用程序列表,它的目标是终止这些应用程序。恶意软件持续监控活动进程,并将其与该列表进行比较。当发现匹配时,恶意软件会使用 Avast Anti-Rootkit 驱动程序终止安全进程。
简单地说:Avast 驱动程序旨在清除恶意 rootkit,却无意中禁用了合法的安全软件。恶意软件利用这个可信的驱动程序来躲避检测,并在系统中悄无声息地运行。
技术分析
Trellix 对 Avast 驱动程序的技术分析揭示了负责终止安全进程的特定函数 “FUN_14001dc80”。该函数利用标准的 Windows 内核函数(KeAttachProcess 和 ZwTerminateProcess)进行终止,进一步将恶意活动掩盖为正常的系统操作。
自我保护
为防止此类基于驱动程序的攻击,Trellix 建议使用 BYOVD(自带脆弱驱动程序)保护机制。这些机制可以根据独特的签名或哈希值识别并阻止特定的易受攻击驱动程序。
一旦将这些规则集成到防病毒解决方案中,企业就能防止恶意软件利用合法驱动程序、提升权限或禁用安全措施。Trellix 还提供了一个特定的 BYOVD 专家规则,用于检测和阻止对 aswArPot.sys 驱动程序的恶意使用。
1.本站内容仅供参考,不作为任何法律依据。用户在使用本站内容时,应自行判断其真实性、准确性和完整性,并承担相应风险。
2.本站部分内容来源于互联网,仅用于交流学习研究知识,若侵犯了您的合法权益,请及时邮件或站内私信与本站联系,我们将尽快予以处理。
3.本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
4.根据《计算机软件保护条例》第十七条规定“为了学习和研究软件内含的设计思想和原理,通过安装、显示、传输或者存储软件等方式使用软件的,可以不经软件著作权人许可,不向其支付报酬。”您需知晓本站所有内容资源均来源于网络,仅供用户交流学习与研究使用,版权归属原版权方所有,版权争议与本站无关,用户本人下载后不能用作商业或非法用途,需在24个小时之内从您的电脑中彻底删除上述内容,否则后果均由用户承担责任;如果您访问和下载此文件,表示您同意只将此文件用于参考、学习而非其他用途,否则一切后果请您自行承担,如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。
5.本站是非经营性个人站点,所有软件信息均来自网络,所有资源仅供学习参考研究目的,并不贩卖软件,不存在任何商业目的及用途
暂无评论内容