بدافزار از درایور قانونی آنتی روت کیت Avast برای غیرفعال کردن نرم افزار امنیتی سوءاستفاده میکند. محققان Trellix حمله را کشف کرده و مراحل کاهش را ارائه میدهند.
خلاصه:
این بدافزار از یک درایور قانونی Avast Anti-Rootkit برای دستیابی به دسترسی در سطح هسته سوءاستفاده میکند.
درایور برای پایان دادن به فرآیندهای امنیتی حیاتی و دست گرفتن کنترل سیستم استفاده میشود.
مکانیسمهای حفاظتی BYOVD میتواند از حملات مبتنی بر درایور جلوگیری کند.
قوانین خبره را میتوان برای شناسایی و مسدود کردن درایور آسیبپذیر مستقر کرد.
محققان امنیت سایبری در Trellix یک کمپین مخرب را شناسایی کردهاند که از یک درایور قانونی Avast Anti-Rootkit به نام aswArPot.sys برای غیرفعال کردن نرم افزارهای امنیتی و کنترل سیستمهای آلوده سوءاستفاده میکند.
حمله چگونه کار میکند:
بدافزاری که “kill-floor.exe” نام دارد، با انداختن درایور aswArPot.sys در یک پوشه ظاهراً بیضرر ویندوز شروع میشود و آن را به عنوان “ntfs.bin” پنهان میکند. سپس درایور را به عنوان یک سرویس ثبت میکند و به بدافزار دسترسی در سطح هسته را میدهد – بالاترین سطح امتیاز سیستم که به آن اجازه میدهد فرآیندهای امنیتی حیاتی را خاتمه دهد و کنترل سیستم را در دست بگیرد.
این بدافزار حاوی یک لیست سخت کد شده از 142 برنامه امنیتی است که برای خاتمه هدف قرار داده است. این بدافزار به طور مداوم فرآیندهای فعال را رصد کرده و آنها را با این لیست مقایسه میکند. هنگامی که مطابقت پیدا میشود، بدافزار از درایور Avast Anti-Rootkit برای خاتمه دادن به فرآیند امنیتی استفاده میکند.
به زبان ساده: درایور Avast که برای حذف روتکیتهای مخرب طراحی شده است، به طور ناخواسته نرم افزار امنیتی قانونی را غیرفعال میکند. بدافزار از این درایور مطمئن برای جلوگیری از شناسایی و کار بی سر و صدا در سیستم استفاده میکند.
نگاه فنی
تجزیهو تحلیل فنی Trellix از درایور Avast، عملکرد خاص “FUN_14001dc80” را نشان داد که مسئول پایان دادن به فرآیندهای امنیتی است. این تابع از توابع استاندارد هسته ویندوز (KeAttachProcess و ZwTerminateProcess) برای انجام خاتمه استفاده میکند و بیشتر فعالیت مخرب را به عنوان عملیات عادی سیستم پنهان میکند.
محافظت از خود
برای جلوگیری از چنین حملات مبتنی بر داریور، Trellix استفاده از مکانیسمهای حفاظتی BYOVD (داریور آسیبپذیر خود را بیاورید) توصیه میکند. این مکانیسمها میتوانند درایورهای آسیبپذیر خاص را بر اساس امضاها یا هشهای منحصر به فرد آنها شناسایی و مسدود کنند.
هنگامی که این قوانین در راهحل آنتی ویروس شما یکپارچه شدند، سازمانها میتوانند از سوءاستفاده بدافزار از درایورهای قانونی جلوگیری کنند، امتیازات را افزایش دهند یا اقدامات امنیتی را غیرفعال کنند. Trellix همچنین یک قانون تخصصی BYOVD برای شناسایی و مسدود کردن استفاده مخرب از درایور aswArPot.sys ارائه کرده است.
.
▫️قرارگاه جنبش انقلابیون (قجا)▫️
.
https://313-313.ir
مطالب برتر
چگونه تشخیص دهیم تلفن همراه ما شنود میشود؟
5 پلتفرم برتر برای شناسایی آسیبپذیریهای قرارداد هوشمند
بهترین روشها برای ایمنسازی محیطهای ابری در برابر تهدیدات سایبری