Команда исследователей из Trellix обнаружила новую вредоносную кампанию, которая использует легитимный драйвер Avast Anti-Rootkit для своих разрушительных действий. Вместо того, чтобы обойти защиту, эта вредоносная программа подбрасывает драйвер и затем манипулирует им для получения доступа к системе на уровне ядра. Она выполняет такие действия, как завершение процессов безопасности, отключение защитного программного обеспечения и захват контроля над системой.
Описание
Особенно тревожной является возможность использования доверенных драйверов режима ядра вредоносной программой для своих целей. В данной кампании драйвер Avast Anti-Rootkit превращается в инструмент разрушения, что вызывает большую озабоченность. Описание цепочки заражения показывает, как вредоносная программа устанавливает легитимный драйвер Avast в определенный каталог, затем создает службу, которая регистрирует драйвер. После установки и запуска драйвера вредоносная программа получает доступ к системе на уровне ядра и может завершать критически важные процессы безопасности.
Драйвер aswArPot.sys работает на уровне ядра и предоставляет вредоносной программе неограниченный доступ к важным частям операционной системы. Описание его работы показывает, что вредоносная программа определяет переменные с именами процессов известных антивирусных и EDR-решений. Далее она создает драйвер Avast Anti-Rootkit и начинает делать снимки запущенных процессов в системе. Затем она сравнивает имена каждого процесса с жестко закодированным списком имен процессов безопасности и при совпадении создает дескриптор для ссылки на установленный драйвер Avast. В заключение, вредоносная программа вызывает API DeviceIoControl и передает код IOCTL вместе с идентификатором процесса, что позволяет ей завершать процессы на уровне ядра, обойдя механизмы защиты большинства антивирусных и EDR-решений.
Эта новая вредоносная кампания представляет угрозу, так как использует легитимный драйвер, чтобы обойти защитные меры системы. Она демонстрирует способность вредоносной программы манипулировать и использовать доверенные компоненты для своих злонамеренных целей. Исследователи уведомили Avast о данной проблеме, и рекомендуют всем пользователям обновить свое программное обеспечение до последней версии для обеспечения оптимальной защиты от подобных атак.
Indicators of Compromise
MD5
- 40439f39f0195c9c7a3b519554afd17a
- a179c4093d05a3e1ee73f6ff07f994aa
