Исследователи компании Trellix обнаружили новую вредоносную кампанию, в которой злоумышленники эксплуатируют легитимный драйвер Avast Anti-Rootkit для обхода систем защиты и получения контроля над компьютерами жертв. В отличие от традиционных атак, где вредоносное ПО пытается скрыться от антивирусов, эта кампания использует доверенный компонент безопасности для выполнения разрушительных действий на уровне ядра операционной системы.
Описание
Драйвер aswArPot.sys, разработанный Avast для борьбы с руткитами, стал инструментом в руках киберпреступников. Вместо защиты системы он используется для отключения антивирусных решений, завершения критических процессов безопасности и захвата контроля над зараженными устройствами. Эта тактика вызывает серьезную озабоченность, поскольку демонстрирует, что даже проверенные компоненты защиты могут быть превращены в оружие против пользователей.
Механизм атаки включает несколько этапов. Сначала вредоносная программа загружает легитимный драйвер Avast в определенный каталог системы, после чего создает службу, регистрирующую драйвер в Windows. Как только драйвер активируется, злоумышленники получают доступ к ядру операционной системы, что позволяет им обходить большинство защитных механизмов. Используя API DeviceIoControl и специальные коды IOCTL, вредоносное ПО получает возможность принудительно завершать процессы, связанные с антивирусами и системами обнаружения угроз (EDR).
Особенностью этой кампании является использование жестко закодированного списка процессов, которые ассоциируются с популярными решениями безопасности. Вредоносная программа сканирует систему, сравнивает запущенные процессы с этим списком и, в случае совпадения, передает управление драйверу Avast для их принудительного завершения. Таким образом, злоумышленники нейтрализуют защитные механизмы, оставляя систему беззащитной перед дальнейшими действиями.
Подобные атаки представляют серьезную угрозу, так как они основаны на эксплуатации доверенных компонентов, что затрудняет их обнаружение традиционными методами. Многие системы защиты не рассматривают легитимные драйверы как потенциальную угрозу, что позволяет злоумышленникам действовать практически безнаказанно.
Исследователи Trellix уже уведомили компанию Avast о выявленной уязвимости и рекомендовали пользователям немедленно обновить антивирусное ПО до последней версии. Это поможет минимизировать риски, связанные с подобными атаками. Кроме того, эксперты советуют организациям внедрять многоуровневую защиту, включающую не только традиционные антивирусные решения, но и системы мониторинга поведения процессов (EDR/XDR), а также регулярно проводить аудит безопасности.
Данный инцидент в очередной раз подчеркивает, что киберпреступники постоянно совершенствуют свои методы, и даже надежные инструменты защиты могут стать их оружием. Компаниям и частным пользователям необходимо оставаться бдительными, своевременно обновлять программное обеспечение и использовать комплексные меры безопасности для защиты от современных угроз.
Индикаторы компрометации
MD5
- 40439f39f0195c9c7a3b519554afd17a
- a179c4093d05a3e1ee73f6ff07f994aa
