Sicherheitsforscher von Trellix haben eine ausgeklügelte Malware-Kampagne aufgedeckt, die einen veralteten Avast Anti-Rootkit-Treiber ausnutzt, um Sicherheitslösungen auf kompromittierten Systemen zu deaktivieren. Die Angreifer setzen dabei auf die als BYOVD (Bring Your Own Vulnerable Driver) bekannte Angriffstechnik.
Technische Details der Malware-Funktionsweise
Die identifizierte Schadsoftware basiert auf einer modifizierten Version des AV-Killer-Tools und verfügt über eine integrierte Datenbank mit 142 Sicherheitsprozessen. Durch die Ausnutzung des verwundbaren Avast-Treibers erlangt die Malware Kernel-Level-Zugriff, was ihr weitreichende Systemrechte verschafft.
Ablauf des Angriffs im Detail
Der Angriffsprozess beginnt mit der Ausführung der Komponente kill-floor.exe, die den verwundbaren Treiber (ntfs.bin) in das Windows-Systemverzeichnis kopiert. Anschließend wird der Treiber aswArPot.sys über den Windows Service Control Manager registriert und aktiviert. Die Malware durchsucht dann das System nach bekannten Sicherheitsprozessen und nutzt DeviceIoControl-API-Aufrufe mit IOCTL-Befehlen, um diese gezielt zu beenden.
Betroffene Sicherheitslösungen
Die Angriffe zielen auf führende Sicherheitsprodukte ab, darunter Lösungen von McAfee, Symantec, Sophos, Avast, Trend Micro, Microsoft Defender, SentinelOne, ESET und BlackBerry. Eine erfolgreiche Deaktivierung dieser Schutzmechanismen ermöglicht Angreifern die ungehinderte Durchführung weiterer maligner Aktivitäten.
Chronologie der Schwachstellenausnutzung
Der betroffene Avast-Treiber wurde bereits in früheren Angriffen missbraucht, unter anderem 2022 durch die Ransomware AvosLocker und 2021 durch die Cuba-Ransomware. SentinelLabs entdeckte zwei kritische Schwachstellen (CVE-2022-26522 und CVE-2022-26523), die seit 2016 existierten und Privilegien-Eskalation sowie Sandbox-Escape ermöglichten. Avast behob diese Schwachstellen im Dezember 2021.
Diese Entwicklung unterstreicht die kritische Bedeutung eines proaktiven Patch-Managements in Unternehmen. Organisationen wird dringend empfohlen, ihre Treiber-Infrastruktur regelmäßig zu überprüfen, nicht benötigte Treiber zu deinstallieren und ein stringentes Update-Management zu implementieren. Zusätzlich sollten mehrschichtige Sicherheitskonzepte etabliert werden, um die Auswirkungen erfolgreicher BYOVD-Angriffe zu minimieren.
