恶意软件滥用有缺陷的 Avast Anti-Rootkit 驱动程序

admin 2024年11月26日11:22:15评论15 views字数 2569阅读8分33秒阅读模式

导 

威胁组织利用过时的 Avast Anti-Rootkit 驱动程序来逃避检测、禁用安全工具并破坏目标系统。

恶意软件滥用有缺陷的 Avast Anti-Rootkit 驱动程序

Trellix 研究人员发现了一个恶意软件活动,该活动滥用易受攻击的 Avast Anti-Rootkit 驱动程序 (aswArPot.sys) 来获取对目标系统的更深入访问权限、禁用安全解决方案并获得系统控制权。

这种策略会破坏受信任的内核模式驱动程序,将其转变为终止保护进程和破坏受感染系统的工具。

威胁组织针对多种安全产品,包括 Avast、ESET、McAfee、Microsoft Defender、SentinelOne、Sophos 和 Trend Micro。

Trellix 发布的报告指出:“恶意软件 (kill-floor.exe) 的感染链始于释放合法的 Avast Anti-Rootkit 驱动程序 (aswArPot.sys)。

恶意软件将合法的内核驱动程序作为‘ntfs.bin’释放到‘ C:UsersDefaultAppDataLocalMicrosoftWindows ’目录中。”

“一旦合法的内核驱动程序被删除,恶意软件就会使用服务控制 (sc.exe) 创建服务“aswArPot.sys”,该服务会注册驱动程序以执行进一步的操作。安装并运行驱动程序后,恶意软件将获得内核级系统访问权限,从而能够终止关键安全进程并控制系统。”

恶意软件滥用有缺陷的 Avast Anti-Rootkit 驱动程序

Avast Anti-Rootkit 驱动程序 aswArPot.sys 在内核级别运行,允许恶意软件获得对操作系统的不受限制的访问权限。

该恶意软件包含与各个供应商的产品相关的 142 个硬编码安全进程名称列表。

安全专家建议组织实施 BYOVD(自带易受攻击的驱动程序)保护,以保护系统免受使用易受攻击的驱动程序的攻击。

这些攻击利用合法但有缺陷的驱动程序来获得内核级访问权限,从而绕过安全性。部署专家规则以根据其独特签名或哈希值检测和阻止此类驱动程序至关重要。

技术报告:

https://www.trellix.com/blogs/research/when-guardians-become-predators-how-malware-corrupts-the-protectors/

新闻链接:

https://securityaffairs.com/171340/hacking/avast-anti-rootkit-driver-abused-malware-campaign.html

恶意软件滥用有缺陷的 Avast Anti-Rootkit 驱动程序

今日安全资讯速递

APT事件

Advanced Persistent Threat

俄罗斯网络间谍入侵目标街对面的大楼,实施 Wi-Fi 攻击

https://www.securityweek.com/russian-cyberspies-hacked-building-across-street-from-target-for-wi-fi-attack/

与俄罗斯有关的 APT TAG-110 的目标是欧洲和亚洲

https://securityaffairs.com/171343/apt/tag-110-targets-asia-europe.html

Gelsemium黑客组织利用新型间谍恶意软件攻击 Linux 系统

https://therecord.media/china-hackers-linux-malware-target

趋势科技发布APT 组织 Earth Estries 的活动报告

https://www.trendmicro.com/en_us/research/24/k/earth-estries.html

一般威胁事件

General Threat Incidents

SafePay 勒索软件组织声称从车辆追踪解决方案提供商 Microlise 窃取超过 1TB 的数据

https://www.securityweek.com/microlise-confirms-data-breach-as-ransomware-group-steps-forward/

网络攻击破坏博彩技术供应商 IGT 的系统

https://www.securityweek.com/cyberattack-disrupts-systems-of-gambling-giant-igt/

勒索软件袭击美国供应链管理公司 Blue Yonder,影响英国杂货店的商品配送

https://www.bleepingcomputer.com/news/security/blue-yonder-ransomware-attack-disrupts-grocery-store-supply-chain/

PyPI Python 库“aiocpa”被发现通过 Telegram Bot 窃取加密密钥

https://thehackernews.com/2024/11/pypi-python-library-aiocpa-found.html

恶意软件滥用有缺陷的 Avast Anti-Rootkit 驱动程序

https://securityaffairs.com/171340/hacking/avast-anti-rootkit-driver-abused-malware-campaign.html

漏洞事件

Vulnerability Incidents

近期 Zyxel 防火墙漏洞遭勒索软件利用

https://www.securityweek.com/recent-zyxel-firewall-vulnerability-exploited-in-ransomware-attacks/

QNAP 解决 NAS、路由器软件中的关键缺陷

https://www.bleepingcomputer.com/news/security/qnap-addresses-critical-flaws-across-nas-router-software/

漏洞使 mySCADA myPRO 系统面临远程黑客攻击

https://www.securityweek.com/vulnerabilities-expose-myscada-mypro-systems-to-remote-hacking/

恶意软件滥用有缺陷的 Avast Anti-Rootkit 驱动程序

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

原文始发于微信公众号(军哥网络安全读报):恶意软件滥用有缺陷的 Avast Anti-Rootkit 驱动程序

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月26日11:22:15
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   恶意软件滥用有缺陷的 Avast Anti-Rootkit 驱动程序http://cn-sec.com/archives/3438463.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息