近期，Trellix研究人员发现了一种新的恶意软件攻击活动，该活动利用过时的Avast Anti-Rootkit驱动程序（aswArPot.sys）来获取系统控制权。攻击者通过释放并注册该驱动程序，获得内核级访问权限，从而禁用安全解决方案，例如Avast、ESET、McAfee等。恶意软件包含142个硬编码的安全进程名称列表，旨在针对多种安全产品。安全专家建议组织实施BYOVD保护措施，并部署专家规则来检测和阻止此类攻击，以防止系统受到利用易受攻击驱动程序的攻击。

🤔恶意软件利用合法的Avast Anti-Rootkit驱动程序（aswArPot.sys）作为攻击载体，通过释放和注册该驱动程序获得内核级访问权限。

🚫恶意软件能够禁用多种安全解决方案，包括Avast、ESET、McAfee、Microsoft Defender等，以获取更深入的系统控制权。

🎯恶意软件包含142个硬编码的安全进程名称列表，表明攻击者针对多种安全产品进行精准打击。

🛡️安全专家建议组织实施BYOVD保护措施，并部署专家规则来检测和阻止利用易受攻击驱动程序的攻击。

⚠️过时的驱动程序可能成为攻击的入口，组织需及时更新驱动程序并加强安全防护。

威胁组织利用过时的 Avast Anti-Rootkit 驱动程序来逃避检测、禁用安全工具并破坏目标系统。

Trellix 研究人员发现了一个恶意软件活动，该活动滥用易受攻击的 Avast Anti-Rootkit 驱动程序 (aswArPot.sys) 来获取对目标系统的更深入访问权限、禁用安全解决方案并获得系统控制权。

这种策略会破坏受信任的内核模式驱动程序，将其转变为终止保护进程和破坏受感染系统的工具。

威胁组织针对多种安全产品，包括 Avast、ESET、McAfee、Microsoft Defender、SentinelOne、Sophos 和 Trend Micro。

Trellix 发布的报告指出：“恶意软件 (kill-floor.exe) 的感染链始于释放合法的 Avast Anti-Rootkit 驱动程序 (aswArPot.sys)。

恶意软件将合法的内核驱动程序作为‘ntfs.bin’释放到‘ C:\Users\Default\AppData\Local\Microsoft\Windows ’目录中。”

“一旦合法的内核驱动程序被删除，恶意软件就会使用服务控制 (sc.exe) 创建服务“aswArPot.sys”，该服务会注册驱动程序以执行进一步的操作。安装并运行驱动程序后，恶意软件将获得内核级系统访问权限，从而能够终止关键安全进程并控制系统。”

Avast Anti-Rootkit 驱动程序 aswArPot.sys 在内核级别运行，允许恶意软件获得对操作系统的不受限制的访问权限。

该恶意软件包含与各个供应商的产品相关的 142 个硬编码安全进程名称列表。

安全专家建议组织实施 BYOVD （自带易受攻击的驱动程序）保护，以保护系统免受使用易受攻击的驱动程序的攻击。

这些攻击利用合法但有缺陷的驱动程序来获得内核级访问权限，从而绕过安全性。部署专家规则以根据其独特签名或哈希值检测和阻止此类驱动程序至关重要。

 

 

 

---

转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/eWCIXhbkY91DxibBwbauXQ

封面来源于网络，如有侵权请联系删除