Μια νέα κακόβουλη καμπάνια χρησιμοποιεί ένα νόμιμο αλλά παλιό και ευάλωτο πρόγραμμα driver Avast Anti-Rootkit, για να αποφύγει τον εντοπισμό και να πάρει τον έλεγχο του συστήματος στόχου απενεργοποιώντας τα στοιχεία ασφαλείας.
Δείτε επίσης: FTC: Θα απαγορεύει στην Avast να πουλά δεδομένα περιήγησης για διαφημιστικούς σκοπούς
Το κακόβουλο λογισμικό που επηρεάζει το πρόγραμμα driver είναι μια παραλλαγή ενός AV Killer. Έρχεται με μια κωδικοποιημένη λίστα 142 ονομάτων για διαδικασίες ασφαλείας από διάφορους προμηθευτές.
Δεδομένου ότι το πρόγραμμα Avast Anti-Rootkit μπορεί να λειτουργήσει σε επίπεδο πυρήνα, παρέχει πρόσβαση σε κρίσιμα μέρη του λειτουργικού συστήματος και επιτρέπει στο κακόβουλο λογισμικό να τερματίζει τις διαδικασίες.
Ανακάλυψη Αρχαίου Αιγυπτιακού Ναού σε Γκρεμό
Η Google μηνύει την κυβέρνηση των ΗΠΑ για υπερβολή
Νέα ανακάλυψη για τον μεγαλύτερο κρατήρα του Φεγγαριού!
Ερευνητές ασφάλειας στην εταιρεία κυβερνοασφάλειας Trellix ανακάλυψαν πρόσφατα μια νέα επίθεση που αξιοποιεί την προσέγγιση «bring-your-own-vulnerable-driver» (BYOVD) με μια παλιά έκδοση του προγράμματος οδήγησης anti-rootkit για να σταματήσει τα προϊόντα ασφαλείας σε ένα στοχευμένο σύστημα.
Εξηγούν ότι ένα κομμάτι ενός κακόβουλου λογισμικού με το όνομα αρχείου kill-floor.exe ρίχνει το ευάλωτο πρόγραμμα driver με το όνομα αρχείου ntfs.bin στον προεπιλεγμένο φάκελο χρήστη των Windows. Στη συνέχεια, το κακόβουλο λογισμικό δημιουργεί την υπηρεσία «aswArPot.sys» χρησιμοποιώντας το Service Control (sc.exe) και καταχωρεί το πρόγραμμα driver.
Δείτε ακόμα: Avast: Εργαλείο αποκρυπτογράφησης για DoNex, Muse, DarkRace ransomware
Στη συνέχεια, το κακόβουλο λογισμικό χρησιμοποιεί μια κωδικοποιημένη λίστα 142 διεργασιών που σχετίζονται με εργαλεία ασφαλείας και την ελέγχει έναντι πολλαπλών στιγμιότυπων ενεργών διεργασιών στο σύστημα.
Ο ερευνητής της Trellix, Trishaan Kalra, λέει ότι όταν βρίσκει κάτι που ταιριάζει, “το κακόβουλο λογισμικό δημιουργεί μια λαβή για αναφορά στο εγκατεστημένο πρόγραμμα οδήγησης Avast“. Στη συνέχεια, αξιοποιεί το API «DeviceIoControl» για να εκδώσει τις απαιτούμενες εντολές IOCTL για τον τερματισμό του.
Με τις άμυνες απενεργοποιημένες, το κακόβουλο λογισμικό μπορεί να εκτελεί κακόβουλες δραστηριότητες χωρίς να ενεργοποιεί ειδοποιήσεις στον χρήστη ή να αποκλειστεί.
Στον τομέα της κυβερνοασφάλειας, ένα κρίσιμο μέλημα είναι η προστασία των συστημάτων από επιθέσεις που εκμεταλλεύονται ευάλωτα driver. Τα προγράμματα driver χρησιμεύουν ως βασικά στοιχεία, διευκολύνοντας την επικοινωνία μεταξύ του λειτουργικού συστήματος και των συσκευών υλικού. Μπορούν ωστόσο, να γίνουν αδύναμα σημεία εάν δεν διαχειρίζονται σωστά ή δεν ενημερώνονται, όπως στην περίπτωση του Avast Anti-Rootkit.
Δείτε επίσης: Σφάλμα στο Mallox Ransomware επιτρέπει στα θύματα να ανακτούν αρχεία χωρίς πληρωμή λύτρων
Για την προστασία από αυτές τις απειλές, είναι ζωτικής σημασίας η εφαρμογή πολλών προστατευτικών μέτρων. Η τακτική ενημέρωση των προγραμμάτων οδήγησης διασφαλίζει ότι τυχόν γνωστά τρωτά σημεία επιδιορθώνονται, μειώνοντας τον κίνδυνο εκμετάλλευσης. Επιπλέον, η ενεργοποίηση του System Guard ή παρόμοιων προστασιών μπορεί να βοηθήσει στην αποτροπή μη εξουσιοδοτημένων αλλαγών σε κρίσιμα μέρη του συστήματος. Η χρήση αξιόπιστου λογισμικού προστασίας από ιούς και η τακτική σάρωση για κακόβουλο λογισμικό μπορεί επίσης να εντοπίσει πιθανές απειλές προτού προκαλέσουν βλάβη. Παραμένοντας ενημερωμένοι για νέα τρωτά σημεία και διατηρώντας μια προληπτική στάση ασφαλείας, οι οργανισμοί μπορούν να μειώσουν σημαντικά την πιθανότητα επιτυχημένων επιθέσεων μέσω ευάλωτων προγραμμάτων οδήγησης.
Πηγή: bleepingcomputer