Исследователи компании Trellix выявили новую масштабную вредоносную кампанию, в которой злоумышленники используют устаревший антируткит драйвер Avast для проведения атак типа BYOVD (Bring Your Own Vulnerable Driver). Основной целью атакующих является отключение защитных механизмов на компьютерах жертв.
Механизм работы вредоносной программы
Обнаруженное вредоносное ПО представляет собой модификацию известного инструмента AV Killer. В его коде содержится предустановленный список из 142 процессов, связанных с различными решениями безопасности. Используя уязвимый драйвер Avast, работающий на уровне ядра операционной системы, малварь получает привилегированный доступ к критическим компонентам ОС.
Этапы выполнения атаки
Процесс атаки начинается с размещения компонента kill-floor.exe, который копирует уязвимый драйвер (ntfs.bin) в стандартную папку Windows. Затем вредоносная программа регистрирует службу aswArPot.sys через Service Control и активирует драйвер. После установки малварь сканирует систему на наличие защитных процессов из своей базы данных и, при обнаружении совпадений, использует API DeviceIoControl для отправки IOCTL-команд на принудительное завершение этих процессов.
Масштаб угрозы для защитных решений
Под угрозой находятся продукты ведущих производителей средств защиты, включая McAfee, Symantec, Sophos, Avast, Trend Micro, Microsoft Defender, SentinelOne, ESET и BlackBerry. Успешная деактивация этих решений открывает злоумышленникам возможность проводить дальнейшие вредоносные действия без риска обнаружения.
История эксплуатации уязвимости
Данный драйвер Avast уже использовался в предыдущих атаках. В 2022 году его применял программа-вымогатель AvosLocker, а в 2021 году — шифровальщик Cuba. Исследователи из SentinelLabs также обнаружили две критические уязвимости (CVE-2022-26522 и CVE-2022-26523), существовавшие с 2016 года, которые позволяли повышать привилегии и обходить механизмы изоляции. Компания Avast устранила эти уязвимости в декабре 2021 года после получения соответствующих уведомлений.
Данный инцидент подчеркивает важность своевременного обновления программного обеспечения и демонстрирует, как устаревшие компоненты могут быть использованы злоумышленниками даже спустя годы после обнаружения уязвимостей. Организациям рекомендуется регулярно проводить аудит используемых драйверов и своевременно устанавливать патчи безопасности.
