Trellix откри нова кампания, в която се използват надеждни антивирусни компоненти за компрометиране на системите. Вместо да се опитват да заобиколят защитата, нападателите използват легитимния драйвер Avast Anti-Rootkit, за да деактивират софтуера за сигурност и да получат контрол над вашия компютър.
Механизмът на атаката изглежда така: зловредният софтуер първо зарежда драйвера на Avast в системата под прикритието на обикновен файл. След това чрез специална команда го регистрира като услуга, която дава достъп до ядрото на операционната система. Това позволява на програмата да изключи процесите на антивирусите и останалите системи за сигурност, заобикаляйки техните стандартни механизми за осигуряване на безопасност.
Злонамереният софтуер, наречен AV Killer, изтегля доверен драйвер и анализира активните процеси на устройството, като ги проверява спрямо твърдо кодиран списък от 142 цели, който включва антивирусни решения на McAfee, Symantec, Sophos, Microsoft Defender, SentinelOne и други. Ако процесът съответства на един от списъка с цели, злонамереният софтуер използва DeviceIoControl API, за да предаде командите към драйвера и да прекрати процеса. Нивото на достъп на драйвера позволява на злонамерения софтуер да прекрати процесите на ниво ядро на ОС.
След като защитата е деактивирана, зловредният софтуер получава пълен контрол над системата, позволявайки на хакерите да крадат данни, да инсталират зловреден софтуер или да постигат други цели.
Експертите обясняват, че атаките BYOVD (Bring Your Own Vulnerable Driver) стават все по-популярни. Тези атаки използват уязвимости в легитимните драйвери, за да проникнат в системите. Например, подобна атака беше извършена от хакерите на Lazarus, използвайки уязвимост в драйвера Windows AppLocker, за да получат достъп на ниво ядро и да деактивират функциите за сигурност, без да бъдат открити.
За защита срещу подобни заплахи Trellix препоръчва специални правила, които помагат да се блокира използването на уязвимите драйвери. Правилата се основават на уникалните особености на драйверите и им пречат да работят, дори ако имат уязвимости. Прилагането на такива правила в антивирусните и EDR системите помага за предварителното идентифициране на заплахите и спиране на атаката. Експертите призовават компаниите да актуализират своя софтуер за сигурност и да добавят нови механизми за борба с напредналите заплахи, за да минимизират рисковете от подобни атаки.
Въпреки препоръките за използване на EDR системи, интересно е да се отбележи, че през август групата RansomHub започна да използва нов зловреден софтуер , който деактивира EDR решенията на устройствата, за да заобиколи механизмите за безопасност и да получи пълен контрол над системата.
Препоръчваме да си спомните за случая, когато една популярна антивирусна програма даде на хакерите пълен достъп до системата. Това всъщност е троянският кон SpyNote за Android, който активно атакува потребителите под прикритието на Avast антивирусна програма.
Всичко важно от света на технологиите, директно в пощата ти.
С абонирането приемате нашите Условия и Политика за поверителност. Може да се отпишете с един клик по всяко време.
Коментирайте статията в нашите Форуми. За да научите първи най-важното, харесайте страницата ни във Facebook, и ни последвайте в Google Новини, TikTok, Telegram и Viber или изтеглете приложението на Kaldata.com за Android, iPhone, Huawei, Google Chrome, Microsoft Edge и Opera!
