Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Драйвер Avast используется для отключения защитного ПО

25/11/24

hack40-1

Специалисты Trellix обнаружили новую кампанию, в которой используются доверенные компоненты антивирусных программ для взлома систем. Вместо попыток обойти защиту злоумышленники применяют легальный драйвер Avast Anti-Rootkit, чтобы отключать защитное ПО и получать контроль над компьютером, пишет Securitylab.

Механизм атаки выглядит так: вредоносная программа сначала загружает драйвер Avast в систему под видом обычного файла. Затем через специальную команду регистрирует его как сервис, дающий доступ к ядру операционной системы. Это позволяет программе завершать процессы антивирусов и других систем защиты, обходя их стандартные механизмы безопасности.

Вредоносное ПО, названное AV Killer, загружает доверенный драйвер и анализирует активные процессы на устройстве, сверяя их с жёстко заданным списком из 142 целей, куда входят антивирусные решения компаний McAfee, Symantec, Sophos, Microsoft Defender, SentinelOne и других. Если процесс совпадает с одним из целевого списка, вредоносное ПО использует API DeviceIoControl для передачи команд драйверу и завершения процесса. Уровень доступа драйвера позволяет вредоносной программе завершать процессы на уровне ядра ОС.

После отключения защиты вредоносное ПО получает полный контроль над системой, что позволяет хакерам похищать данные, устанавливать вредоносные программы или достигать другие свои цели.

Эксперты объясняют, что BYOVD-атаки (Bring Your Own Vulnerable Driver) становятся все более популярными. В таких атаках используются уязвимости легальных драйверов, чтобы проникать в системы. Например, похожую атаку проводили хакеры Lazarus, когда использовали уязвимость в драйвере Windows AppLocker для получения доступа на уровне ядра и отключения средств безопасности, избежав обнаружения.

Для защиты от подобных угроз Trellix рекомендует специальные правила, которые помогают блокировать использование уязвимых драйверов. Правила основаны на уникальных характеристиках драйверов и предотвращают их запуск даже при наличии уязвимостей. Внедрение таких правил в антивирусные и EDR-системы помогает заранее выявить угрозу и остановить атаку. Эксперты призывают компании обновлять защитное ПО и добавлять новые механизмы для борьбы с продвинутыми угрозами, чтобы минимизировать риски подобных атак.

Несмотря на рекомендации использования EDR-систем, интересно отметить, что в августе группировка RansomHub начала использовать новый вредоносный софт, который отключает EDR-решения на устройствах для обхода механизмов безопасности и получения полного контроля над системой.

Темы:УгрозыAvastкибербезопасность
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...