Сегодня 27 декабря 2024
18+
MWC 2018 2018 Computex IFA 2018
3DNewsТегиmalware
реклама
Теги → malware
Быстрый переход
← В прошлое

Хакеры нашли способ отключать антивирус Avast с помощью его же драйвера

25.11.2024 [17:06], Анжелла Марина

Специалисты по кибербезопасности из компании Trellix обнаружили, что хакеры нашли новый способ отключения антивирусных программ в целевых системах через использование легитимного, но старого драйвера Avast. Злоумышленники эксплуатируют уязвимость, позволяющую драйверу завершать процессы на уровне ядра.

Источник изображения: Ed Hardie / Unsplash

Источник изображения: Ed Hardie / Unsplash

Согласно информации, атака, использует метод «принеси свой уязвимый драйвер» (BYOVD). Атакующие применяют старую версию драйвера антируткита Avast для остановки работы различных продуктов безопасности. Вредоносное ПО, известное как AV Killer, устанавливает драйвер под именем ntfs.bin в стандартную папку пользователя Windows.

Источник изображения: Trellix

Цепочка атак. Источник изображения: Trellix

После установки драйвера вредоносная программа создаёт сервис aswArPot.sys, используя утилиту Service Control (sc.exe). После этого, сверяются активные процессы системы с заранее заготовленным списком из 142 процессов, связанных с антивирусными приложениями. «Когда вирус находит совпадение, он самостоятельно создаёт идентификатор для взаимодействия с установленным драйвером Avast», — поясняет исследователь Тришан Калра (Trishaan Kalra) из компании Trellix.

Источник изображения: Trellix

Список процессов. Источник изображения: Trellix

Далее с помощью программного интерфейса API DeviceIoControl, вредоносное ПО отправляет команды IOCTL, необходимые для завершения работы целевых процессов. Среди целей атаки называются антивирусы от таких ведущих компаний, как McAfee, Symantec, Sophos и других. При этом способ отключения позволяет хакерам проводить вредоносные действия без оповещения пользователя или блокировки со стороны систем безопасности.

Источник изображения: Trellix

Список процессов. Источник изображения: Trellix

Стоит отметить, что сам по себе метод относительно архаичен. Аналогичные случаи были зафиксированы в начале 2022 года при анализе атак с использованием вымогателя AvosLocker.

В ответ на обнаруженные уязвимости Avast выпустила обновления безопасности своего драйвера, а Microsoft для защиты от подобных атак предлагает использовать политику блокировки уязвимых драйверов, активно обновляемую с каждым крупным релизом Windows.

← В прошлое

© 1997—2024 Электронное периодическое издание "3ДНьюс" | Свидетельство о регистрации СМИ Эл ФС 77-22224

выдано Федеральной Службой по надзору за соблюдением законодательства в сфере массовых коммуникаций и охране культурного наследия

При цитировании документа ссылка на сайт с указанием автора обязательна. Полное заимствование документа является нарушением
российского и международного законодательства и возможно только с согласия редакции 3DNews.

Яндекс.Метрика

Система Orphus

window-new
Контакты Поиск Реклама О сайте
Soft
Hard
Тренды 🔥
Новая реальность: успех S.T.A.L.K.E.R. 2: Heart of Chornobyl позволит GSC добавить в игру вырезанный контент
Во флагманских смартфонах Huawei Mate 70 нашли память SK hynix, которой там быть не должно
«Недостаточно слов, чтобы выразить благодарность за такой подарок»: неофициальная русская озвучка трейлера The Witcher 4 привела фанатов в восторг
Apple призналась, почему из российского App Store стали пропадать VPN-приложения
Пример Tesla заразителен: китайский производитель электромобилей Li Auto начнёт выпускать человекоподобных роботов
В Windows 11 обнаружена ошибка, которая мешает установке обновления безопасности 2 ч.
«Дорогая, я уменьшил ведьмака»: новогодний мод для The Witcher 3: Wild Hunt отправит Геральта в незабываемое праздничное приключение 7 ч.
В работе ChatGPT произошёл глобальный сбой 8 ч.
Разработчики Assetto Corsa Evo подтвердили, с каким контентом игра выйдет на старт раннего доступа и чего ждать от полноценного релиза 8 ч.
Российский аниме-хоррор MiSide внезапно оказался хитом Steam — восторженные отзывы игроков, сотни тысяч проданных копий 10 ч.
Киберпанковый слешер Ghostrunner 2 стал новой бесплатной игрой в Epic Games Store — раздача доступна в России и продлится всего 24 часа 12 ч.
Activision сыграет в кальмара: новый трейлер раскрыл, когда в Call of Duty: Black Ops 6 стартует кроссовер со Squid Game 2 12 ч.
«К чёрту Embracer Group»: неизвестный устроил утечку исходного кода Saints Row IV 14 ч.
Отечественная платформа Tantor повысит производительность и удобство работы с СУБД на базе PostgreSQL 17 ч.
В Steam вышла новая демоверсия голливудской стратегии Hollywood Animal от авторов This is the Police 17 ч.
Новая статья: Обзор смартфона HUAWEI nova Y72s: у меня тоже есть новая кнопка! 6 ч.
Япония пустила «антиковидные» фонды на создание производства 2-нм чипов, и не всем это понравилось 7 ч.
Новая статья: Обзор игрового QD-Mini-LED 4K-монитора Acer Predator X32Q FS: вся сила в подсветке! 7 ч.
NASA поручило частным компания обеспечить связь в радиусе 2 млн км от Земли 10 ч.
Китайский автопроизводитель GAC представил гуманоидного робота GoMate с 38 степенями свободы 12 ч.
Главный конкурент Tesla запустил разработку человекоподобных роботов 12 ч.
Omdia: быстрый рост спроса на TPU Google ставит под вопрос доминирование NVIDIA на рынке ИИ-ускорителей 13 ч.
Российскую игровую приставку собрались построить на процессоре «Эльбрус», для которого не существует игр 14 ч.
Equinix предложил ИИ-фабрики на базе систем Dell с ускорителями NVIDIA 15 ч.
NASA показало «рождественскую ель» галактического масштаба 15 ч.