Експерти з кібербезпеки компанії Trellix виявили нову масштабну кампанію кібератак, яка використовує застарілий антируткіт драйвер Avast для проведення атак типу BYOVD (Bring Your Own Vulnerable Driver). Зловмисники націлені на деактивацію систем захисту комп’ютерів жертв, що створює серйозну загрозу для корпоративної та особистої кібербезпеки.
Технічний аналіз шкідливого програмного забезпечення
Виявлене шкідливе ПЗ є модифікованою версією інструменту AV Killer, що містить вбудовану базу даних із 142 процесів різних систем безпеки. Використовуючи вразливий драйвер Avast з правами ядра операційної системи, зловмисне ПЗ отримує привілейований доступ до критичних компонентів системи.
Послідовність виконання кібератаки
Атака розпочинається з впровадження компонента kill-floor.exe, який копіює вразливий драйвер (ntfs.bin) до системної директорії Windows. Далі відбувається реєстрація служби aswArPot.sys через Service Control та активація драйвера. Шкідливе ПЗ проводить сканування системи на наявність захисних процесів і використовує API DeviceIoControl для надсилання IOCTL-команд для їх примусового завершення.
Вплив на системи безпеки
Під загрозою опинились рішення провідних виробників засобів захисту, включаючи McAfee, Symantec, Sophos, Avast, Trend Micro, Microsoft Defender, SentinelOne, ESET і BlackBerry. Успішна деактивація цих систем відкриває шлях для подальших зловмисних дій без ризику виявлення.
Історія використання вразливості
Цей драйвер Avast вже використовувався у попередніх атаках програм-вимагачів AvosLocker (2022) та Cuba (2021). Дослідники SentinelLabs виявили дві критичні вразливості (CVE-2022-26522 та CVE-2022-26523), що існували з 2016 року та дозволяли підвищувати привілеї та обходити механізми ізоляції. Avast усунув ці вразливості у грудні 2021 року.
Цей інцидент демонструє критичну важливість регулярного оновлення програмного забезпечення та проведення аудиту системних драйверів. Організаціям рекомендується впровадити комплексний підхід до управління оновленнями безпеки, включаючи моніторинг вразливостей, своєчасне встановлення патчів та регулярну перевірку легітимності встановлених драйверів. Додатково варто розглянути впровадження рішень для контролю застосунків та управління привілеями для мінімізації ризиків подібних атак.
