Сегодня 23 апреля 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Теги → malware

Хакеры нашли способ отключать антивирус Avast с помощью его же драйвера

Специалисты по кибербезопасности из компании Trellix обнаружили, что хакеры нашли новый способ отключения антивирусных программ в целевых системах через использование легитимного, но старого драйвера Avast. Злоумышленники эксплуатируют уязвимость, позволяющую драйверу завершать процессы на уровне ядра.

 Источник изображения: Ed Hardie / Unsplash

Источник изображения: Ed Hardie / Unsplash

Согласно информации, атака, использует метод «принеси свой уязвимый драйвер» (BYOVD). Атакующие применяют старую версию драйвера антируткита Avast для остановки работы различных продуктов безопасности. Вредоносное ПО, известное как AV Killer, устанавливает драйвер под именем ntfs.bin в стандартную папку пользователя Windows.

 Источник изображения: Trellix

Цепочка атак. Источник изображения: Trellix

После установки драйвера вредоносная программа создаёт сервис aswArPot.sys, используя утилиту Service Control (sc.exe). После этого, сверяются активные процессы системы с заранее заготовленным списком из 142 процессов, связанных с антивирусными приложениями. «Когда вирус находит совпадение, он самостоятельно создаёт идентификатор для взаимодействия с установленным драйвером Avast», — поясняет исследователь Тришан Калра (Trishaan Kalra) из компании Trellix.

 Источник изображения: Trellix

Список процессов. Источник изображения: Trellix

Далее с помощью программного интерфейса API DeviceIoControl, вредоносное ПО отправляет команды IOCTL, необходимые для завершения работы целевых процессов. Среди целей атаки называются антивирусы от таких ведущих компаний, как McAfee, Symantec, Sophos и других. При этом способ отключения позволяет хакерам проводить вредоносные действия без оповещения пользователя или блокировки со стороны систем безопасности.

 Источник изображения: Trellix

Список процессов. Источник изображения: Trellix

Стоит отметить, что сам по себе метод относительно архаичен. Аналогичные случаи были зафиксированы в начале 2022 года при анализе атак с использованием вымогателя AvosLocker.

В ответ на обнаруженные уязвимости Avast выпустила обновления безопасности своего драйвера, а Microsoft для защиты от подобных атак предлагает использовать политику блокировки уязвимых драйверов, активно обновляемую с каждым крупным релизом Windows.


window-new
Soft
Hard
Тренды 🔥
«Одной рукой играю, другой слёзы счастья вытираю»: пользователи Steam остались в восторге от The Elder Scrolls IV: Oblivion Remastered 12 мин.
Meta может потерять $7 млрд из-за новых пошлин Трампа против Китая 4 ч.
OpenAI готова купить браузер Chrome, если Google обяжут его продать 6 ч.
Новые правила «Оскара» разрешили применение ИИ в кино, но с оговоркой 9 ч.
Google бросила попытки искоренить сторонние cookies — они останутся в браузере Chrome 9 ч.
«Однозначно стоит своих денег»: хоррор Post Trauma в духе первых Silent Hill и Resident Evil вышел в российском Steam 11 ч.
Apple полностью поменяет команду разработки Siri, чтобы вывести её из застоя 11 ч.
Nvidia похвалилась, что поддержка технологии DLSS уже есть в 769 играх и приложениях 12 ч.
Анонсирован психологический хоррор «нового уровня» Displacement с элементами BioShock и Condemned — игра на грани закрытия 13 ч.
AMD выпустила необязательный драйвер с поддержкой The Elder Scrolls IV: Oblivion Remastered и FSR 4 для новых игр 13 ч.
Китайские техногиганты успели заказать у Nvidia ускорителей H20 на миллиарды долларов до введения запрета на их поставку 40 мин.
Microsoft развернёт системы охлаждения LG в своих ИИ ЦОД 2 ч.
Трагическое ДТП с электромобилем SU7 вынудило Xiaomi задержать премьеру кроссовера YU7 2 ч.
Политический активизм Маска обернулся для Tesla рухнувшей на 20 % выручкой от продаж электромобилей 3 ч.
Минпромторг исключит ноутбуки и серверы HP и Fujitsu из списка на параллельный импорт 10 ч.
Новая статья: Старость — не радость (и для кремния тоже) 10 ч.
GS Group освоила самое передовое в России корпусирование микросхем, но до мировых лидеров ещё далеко 11 ч.
Зонд «Гера» показал Марс с необычного ракурса и сфотографировал один из самых маленьких спутников в Солнечной системе 11 ч.
Европа проведёт эксперимент по производству еды прямо на орбите 11 ч.
Учёные построили симулятор чёрной и белой дыры — он поможет создать электронику будущего и не только 11 ч.