資安公司 Trellix 最近揭露了一起新型惡意攻擊活動,駭客透過濫用 Avast 舊版且具漏洞的防 Rootkit 驅動程式,成功突破系統偵測並關閉目標系統的安全防護。
根據 Trellix 研究員分析,這款惡意程式是一個 AV Killer 變種,內建了 142 個來自不同資安廠商的安全程式名單。由於該驅動程式具有核心層級的存取權限,使得惡意程式能夠存取作業系統的關鍵部分並終止特定程序。
攻擊者採用了「自帶漏洞驅動程式」(BYOVD)的手法,具體步驟如下:
- 惡意程式(kill-floor.exe)會在 Windows 使用者資料夾中放置具有漏洞的驅動程式(ntfs.bin)
- 透過服務控制(sc.exe)創建名為 'aswArPot.sys' 的服務並註冊驅動程式
- 利用內建的程序清單比對系統中的活動程序
- 一旦發現相符的程序,就會建立 Avast 驅動程式的存取控制代碼
- 使用 'DeviceIoControl' API 發送 IOCTL 指令來終止目標程序
受影響的安全解決方案包括 McAfee、Symantec(Broadcom)、Sophos、Avast、Trend Micro、Microsoft Defender、SentinelOne、ESET 和 BlackBerry 等知名廠商的產品。一旦這些防護機制被停用,惡意程式就能在不觸發警報或遭到阻擋的情況下執行惡意活動。
值得注意的是,這類攻擊手法並非首次出現。2022 年初,Trend Micro 的研究人員在調查 AvosLocker 勒索軟體攻擊時就曾觀察到類似的驅動程式濫用情況。2021 年 12 月,Cuba 勒索軟體也曾利用 Avast 防 Rootkit 核心驅動程式的功能來癱瘓受害者系統的安全解決方案。
同期,SentinelLabs 發現了兩個自 2016 年就存在的高風險漏洞(CVE-2022-26522 和 CVE-2022-26523),這些漏洞可被利用來提升權限並停用安全產品。Avast 已在接獲通報後透過安全更新修補這些漏洞。
為防範此類攻擊,組織可採用基於簽章或雜湊值的規則來識別和阻擋可疑元件。Microsoft 也提供了易受攻擊驅動程式封鎖清單政策檔案作為防護措施,該清單會隨每次 Windows 主要更新而更新,並自 Windows 11 2022 版本起預設在所有裝置上啟用。使用者可透過 App Control for Business 取得最新版本的清單。
此事件再次提醒企業和使用者,即使是來自知名安全廠商的合法元件,若未及時更新也可能被攻擊者利用作為入侵系統的工具。定期更新和妥善的安全配置管理變得更加重要。
本文轉載自bleepingcomputer。