Trellix研究人员发现了一种新型恶意软件攻击，该恶意软件利用合法的Avast Anti-Rootkit驱动程序（aswArPot.sys）来禁用安全软件并控制系统。恶意软件通过将驱动程序伪装成‘ntfs.bin’并注册为服务，获得内核级访问权限，从而终止包括安全软件在内的特定进程。这种攻击利用了Avast驱动程序的功能，使其成为绕过安全防御的工具。研究人员建议使用BYOVD保护机制，通过识别和阻止特定的易受攻击驱动程序来防止此类攻击，并提供了一个专家规则来检测和阻止aswArPot.sys的恶意使用，以增强系统安全性。

🦠 **恶意软件利用Avast Anti-Rootkit驱动程序（aswArPot.sys）获取内核级访问权限：**恶意软件将驱动程序伪装成‘ntfs.bin’并注册为服务，从而获得系统最高权限，可以终止关键进程并控制系统。

🎯 **恶意软件包含一个硬编码的安全软件列表，目标是终止这些应用程序：**它持续监控系统进程，一旦发现匹配列表中的安全软件，就会利用Avast驱动程序终止它们，从而禁用安全防护。

🛡️ **BYOVD（自带脆弱驱动程序）保护机制可防止基于驱动程序的攻击：**通过识别和阻止特定的易受攻击驱动程序，例如aswArPot.sys，来防止恶意软件利用合法驱动程序提升权限或禁用安全措施。

🔎 **Trellix提供了一个BYOVD专家规则，用于检测和阻止aswArPot.sys的恶意使用：**该规则可以集成到防病毒解决方案中，帮助企业识别并阻止此类攻击。

🕵️ **技术分析揭示了Avast驱动程序中负责终止进程的特定函数（FUN_14001dc80）：**该函数利用标准Windows内核函数（KeAttachProcess和ZwTerminateProcess）进行终止，进一步隐藏了恶意活动。

恶意软件利用合法的 Avast 反 rootkit 驱动程序禁用安全软件。Trellix 研究人员发现了这一攻击并提供了缓解步骤。摘要：恶意软件利用合法的 Avast Anti-Rootkit 驱动程序获得内核级访问权限。驱动程序被用来终止关键安全进程并夺取系统的控制权。BYOVD（自带漏洞驱动程序）保护机制可防止基于驱动程序的攻击。可以部署专家规则来识别和阻止易受攻击的驱动程序。Trellix 的网络安全研究人员发现了一种恶意活动，它利用合法的 Avast Anti-Rootkit 驱动程序 aswArPot.sys 来禁用安全软件并控制受感染的系统。攻击如何运作：该恶意软件被称为 “kill-floor.exe”，它首先将 aswArPot.sys 驱动程序放入一个看似无害的 Windows 目录，并将其伪装成 “ntfs.bin”。然后，它将驱动程序注册为服务，授予恶意软件内核级访问权限–这是系统权限的最高级别，允许它终止关键安全进程并控制系统。该恶意软件包含一个硬编码的 142 个安全应用程序列表，它的目标是终止这些应用程序。恶意软件持续监控活动进程，并将其与该列表进行比较。当发现匹配时，恶意软件会使用 Avast Anti-Rootkit 驱动程序终止安全进程。简单地说：Avast 驱动程序旨在清除恶意 rootkit，却无意中禁用了合法的安全软件。恶意软件利用这个可信的驱动程序来躲避检测，并在系统中悄无声息地运行。技术分析Trellix 对 Avast 驱动程序的技术分析揭示了负责终止安全进程的特定函数 “FUN_14001dc80”。该函数利用标准的 Windows 内核函数（KeAttachProcess 和 ZwTerminateProcess）进行终止，进一步将恶意活动掩盖为正常的系统操作。自我保护为防止此类基于驱动程序的攻击，Trellix 建议使用 BYOVD（自带脆弱驱动程序）保护机制。这些机制可以根据独特的签名或哈希值识别并阻止特定的易受攻击驱动程序。一旦将这些规则集成到防病毒解决方案中，企业就能防止恶意软件利用合法驱动程序、提升权限或禁用安全措施。Trellix 还提供了一个特定的 BYOVD 专家规则，用于检测和阻止对 aswArPot.sys 驱动程序的恶意使用。