Сегодня 26 ноября 2024
18+
MWC 2018 2018 Computex IFA 2018
3DNewsТегиmalware
реклама
Теги → malware
Быстрый переход
← В прошлое

Хакеры нашли способ отключать антивирус Avast с помощью его же драйвера

25.11.2024 [17:06], Анжелла Марина

Специалисты по кибербезопасности из компании Trellix обнаружили, что хакеры нашли новый способ отключения антивирусных программ в целевых системах через использование легитимного, но старого драйвера Avast. Злоумышленники эксплуатируют уязвимость, позволяющую драйверу завершать процессы на уровне ядра.

Источник изображения: Ed Hardie / Unsplash

Источник изображения: Ed Hardie / Unsplash

Согласно информации, атака, использует метод «принеси свой уязвимый драйвер» (BYOVD). Атакующие применяют старую версию драйвера антируткита Avast для остановки работы различных продуктов безопасности. Вредоносное ПО, известное как AV Killer, устанавливает драйвер под именем ntfs.bin в стандартную папку пользователя Windows.

Источник изображения: Trellix

Цепочка атак. Источник изображения: Trellix

После установки драйвера вредоносная программа создаёт сервис aswArPot.sys, используя утилиту Service Control (sc.exe). После этого, сверяются активные процессы системы с заранее заготовленным списком из 142 процессов, связанных с антивирусными приложениями. «Когда вирус находит совпадение, он самостоятельно создаёт идентификатор для взаимодействия с установленным драйвером Avast», — поясняет исследователь Тришан Калра (Trishaan Kalra) из компании Trellix.

Источник изображения: Trellix

Список процессов. Источник изображения: Trellix

Далее с помощью программного интерфейса API DeviceIoControl, вредоносное ПО отправляет команды IOCTL, необходимые для завершения работы целевых процессов. Среди целей атаки называются антивирусы от таких ведущих компаний, как McAfee, Symantec, Sophos и других. При этом способ отключения позволяет хакерам проводить вредоносные действия без оповещения пользователя или блокировки со стороны систем безопасности.

Источник изображения: Trellix

Список процессов. Источник изображения: Trellix

Стоит отметить, что сам по себе метод относительно архаичен. Аналогичные случаи были зафиксированы в начале 2022 года при анализе атак с использованием вымогателя AvosLocker.

В ответ на обнаруженные уязвимости Avast выпустила обновления безопасности своего драйвера, а Microsoft для защиты от подобных атак предлагает использовать политику блокировки уязвимых драйверов, активно обновляемую с каждым крупным релизом Windows.

← В прошлое

© 1997—2024 Электронное периодическое издание "3ДНьюс" | Свидетельство о регистрации СМИ Эл ФС 77-22224

выдано Федеральной Службой по надзору за соблюдением законодательства в сфере массовых коммуникаций и охране культурного наследия

При цитировании документа ссылка на сайт с указанием автора обязательна. Полное заимствование документа является нарушением
российского и международного законодательства и возможно только с согласия редакции 3DNews.

Яндекс.Метрика

Система Orphus

window-new
Контакты Поиск Реклама О сайте
Soft
Hard
Тренды 🔥
OLED-дисплеи станут втрое ярче и в пять раз долговечнее — представлена технология MAX OLED
GSC Game World раскрыла, когда выйдет первый патч для S.T.A.L.K.E.R. 2: Heart of Chornobyl и какие улучшения в него войдут
Российский ответ Control: мистический экшен «Отдел 34» отправит игроков в альтернативный СССР бороться с созданиями человеческих эмоций
AMD укомплектовала некоторые Ryzen 7 9800X3D «микропроцессором» на верёвочке
Qualcomm Snapdragon 8 Elite: первый тест
Телевизоры в ремейке Silent Hill 2 скрывают зашифрованные сообщения — они написаны с помощью азбуки Морзе 2 ч.
«Крупнейшая Call of Duty в истории»: Activision похвасталась успехами Black Ops 6 за первый месяц с релиза 3 ч.
Игры ещё нет, а Трой Бейкер уже есть: звезда The Last of Us и Uncharted 4 подтвердил участие в новой игре Naughty Dog 4 ч.
Второй трейлер «Соника 3 в кино» привёл зрителей в восторг 5 ч.
Telegram снова оштрафован в России за неудаление запрещённого контента — теперь на ₽7 млн 6 ч.
Nvidia представила ИИ-модель Fugatto, которая «понимает и генерирует звук, как это делают люди» 7 ч.
Замедление YouTube вызвало резкий рост интернет-трафика в России 7 ч.
Ирландская газета рассекретила, сколько Larian заработала благодаря Baldur’s Gate 3 в 2023 году 8 ч.
Хакеры нашли способ отключать антивирус Avast с помощью его же драйвера 8 ч.
В России задумались ввести прокатные удостоверения для видеоигр, но это чревато серьёзными последствиями 11 ч.
Новая статья: Обзор складного смартфона TECNO PHANTOM V Flip2: экран больше, цена та же 43 мин.
iPhone 17 Slim получился настолько тонким, что в него не поместится SIM-карта 2 ч.
Samsung готовит самый быстрый OLED-монитор в мире — 27 дюймов, 1440p и 500 Гц 3 ч.
Xiaomi собралась выпустить собственный процессор для смартфонов, выяснили тайваньские СМИ 4 ч.
Amazon вложит ещё $4 млрд в Anthropic и снизит её зависимость от Nvidia 4 ч.
Oppo представила смартфоны Reno13 и Reno13 Pro — до 1 Тбайт памяти и Dimensity 8350 по цене от $370 6 ч.
Крупнейший производитель стекла для смартфонов нашёл способ отбиться от антимонопольного расследования в ЕС 6 ч.
Atos вновь готовится продать французскому правительству часть бизнеса 8 ч.
В Lattice Semiconductor обсуждают возможность покупки у Intel всего FPGA-подразделения Altera 9 ч.
Raspberry Pi выпустила плату Pico 2 W с поддержкой Wi-Fi и Bluetooth за $7 9 ч.