详细内容或原文请订阅后点击阅览
恶意软件活动滥用有缺陷的 Avast Anti-Rootkit 驱动程序
威胁行为者利用过时的 Avast Anti-Rootkit 驱动程序来逃避检测、禁用安全工具并破坏目标系统。Trellix 研究人员发现了一个恶意软件活动,该活动滥用易受攻击的 Avast Anti-Rootkit 驱动程序 (aswArPot.sys) 来获得对目标系统的更深入访问权限、禁用安全解决方案并获得系统控制权。这种令人震惊的策略破坏了受信任的内核模式驱动程序,[…]
来源:Security Affairs _恶意软件恶意软件活动滥用有缺陷的 Avast Anti-Rootkit 驱动程序
恶意软件活动滥用有缺陷的 Avast Anti-Rootkit 驱动程序
Pierluigi Paganini Pierluigi Paganini 2024 年 11 月 25 日威胁行为者利用过时的 Avast Anti-Rootkit 驱动程序来逃避检测、禁用安全工具并破坏目标系统。
Trellix 研究人员发现了一个恶意软件活动,该活动滥用易受攻击的 Avast Anti-Rootkit 驱动程序 (aswArPot.sys) 来获得对目标系统的更深入访问权限、禁用安全解决方案并获得系统控制权。这种令人震惊的策略会破坏受信任的内核模式驱动程序,将它们转变为终止保护进程和破坏受感染系统的工具。
威胁行为者针对多种产品,包括 Avast、ESET、McAfee、Microsoft Defender、SentinelOne、Sophos 和 Trend Micro。
“恶意软件 (kill-floor.exe) 的感染链从删除合法的 Avast Anti-Rootkit 驱动程序 (aswArPot.sys) 开始。恶意软件将合法的内核驱动程序作为‘ntfs.bin’ 放在‘C:\Users\Default\AppData\Local\Microsoft\Windows’ 目录中”,Trellix 发布的报告写道。
“恶意软件 (kill-floor.exe) 的感染链从删除合法的 Avast Anti-Rootkit 驱动程序 (aswArPot.sys) 开始。恶意软件将合法的内核驱动程序作为‘ntfs.bin’ 放在‘C:\Users\Default\AppData\Local\Microsoft\Windows’ 目录中”,Trellix 发布的报告写道。 C:\Users\Default\AppData\Local\Microsoft\Windows 报告“一旦合法的内核驱动程序被删除,恶意软件就会使用服务控制 (sc.exe) 创建服务‘aswArPot.sys’,该服务注册驱动程序以执行进一步的操作。安装并运行驱动程序后,恶意软件将获得对系统的内核级访问权限,从而能够终止关键安全进程并控制系统。”
Avast Anti-Rootkit 驱动程序 aswArPot.sys 在内核级别运行,允许恶意软件获得对操作系统的不受限制的访问权限。
BYOVD @securityaffairs @securityaffairs Facebook ( –