Антивирус-предатель: драйвер Avast стал ключом к полному контролю системы

Механизм атаки выглядит так: вредоносная программа сначала загружает драйвер Avast в систему под видом обычного файла. Затем через специальную команду регистрирует его как сервис, дающий доступ к ядру операционной системы. Это позволяет программе завершать процессы антивирусов и других систем защиты, обходя их стандартные механизмы безопасности.

Вредоносное ПО, названное AV Killer, загружает доверенный драйвер и анализирует активные процессы на устройстве, сверяя их с жёстко заданным списком из 142 целей, куда входят антивирусные решения компаний McAfee, Symantec, Sophos, Microsoft Defender, SentinelOne и других. Если процесс совпадает с одним из целевого списка, вредоносное ПО использует API DeviceIoControl для передачи команд драйверу и завершения процесса. Уровень доступа драйвера позволяет вредоносной программе завершать процессы на уровне ядра ОС.

После отключения защиты вредоносное ПО получает полный контроль над системой, что позволяет хакерам похищать данные, устанавливать вредоносные программы или достигать другие свои цели.

Эксперты объясняют, что BYOVD-атаки (Bring Your Own Vulnerable Driver) становятся все более популярными. В таких атаках используются уязвимости легальных драйверов, чтобы проникать в системы. Например, похожую атаку проводили хакеры Lazarus, когда использовали уязвимость в драйвере Windows AppLocker для получения доступа на уровне ядра и отключения средств безопасности, избежав обнаружения.

Для защиты от подобных угроз Trellix рекомендует специальные правила, которые помогают блокировать использование уязвимых драйверов. Правила основаны на уникальных характеристиках драйверов и предотвращают их запуск даже при наличии уязвимостей. Внедрение таких правил в антивирусные и EDR-системы помогает заранее выявить угрозу и остановить атаку. Эксперты призывают компании обновлять защитное ПО и добавлять новые механизмы для борьбы с продвинутыми угрозами, чтобы минимизировать риски подобных атак.

Несмотря на рекомендации использования EDR-систем, интересно отметить, что в августе группировка RansomHub начала использовать новый вредоносный софт, который отключает EDR-решения на устройствах для обхода механизмов безопасности и получения полного контроля над системой.