网络安全研究人员发现了一种新的恶意活动,该活动利用一种名为“自带易受攻击的驱动程序”的技术来解除安全保护并最终获得对受感染系统的访问权限。
Trellix 安全研究员 Trishaan Kalra在上周发表的分析报告中: “这种恶意软件采取了更为险恶的手段:它会植入合法的 Avast Anti-Rootkit 驱动程序 (aswArPot.sys),并操纵它来执行其破坏性计划。”
“该恶意软件利用驱动程序提供的深度访问权限来终止安全进程、禁用保护软件并夺取受感染系统的控制权。”
攻击的起点是一个可执行文件(kill-floor.exe),它会释放合法的 Avast Anti-Rootkit 驱动程序,随后使用服务控制(sc.exe)将其注册为服务以执行其恶意操作。
一旦驱动程序启动并运行,恶意软件就会获得系统内核级访问权限,从而可以终止总共 142 个进程,包括与安全软件相关的进程,否则可能会发出警报。
这是通过对系统上正在运行的进程进行快照并根据要终止的进程的硬编码列表检查它们的名称来实现的。
原文始发于微信公众号(TtTeam):研究人员发现恶意软件利用 BYOVD 绕过防病毒保护
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论