Сегодня 27 декабря 2024
18+
MWC 2018 2018 Computex IFA 2018
3DNewsТегиmalware
реклама
Теги → malware
Быстрый переход
← В прошлое

Хакеры нашли способ отключать антивирус Avast с помощью его же драйвера

25.11.2024 [17:06], Анжелла Марина

Специалисты по кибербезопасности из компании Trellix обнаружили, что хакеры нашли новый способ отключения антивирусных программ в целевых системах через использование легитимного, но старого драйвера Avast. Злоумышленники эксплуатируют уязвимость, позволяющую драйверу завершать процессы на уровне ядра.

Источник изображения: Ed Hardie / Unsplash

Источник изображения: Ed Hardie / Unsplash

Согласно информации, атака, использует метод «принеси свой уязвимый драйвер» (BYOVD). Атакующие применяют старую версию драйвера антируткита Avast для остановки работы различных продуктов безопасности. Вредоносное ПО, известное как AV Killer, устанавливает драйвер под именем ntfs.bin в стандартную папку пользователя Windows.

Источник изображения: Trellix

Цепочка атак. Источник изображения: Trellix

После установки драйвера вредоносная программа создаёт сервис aswArPot.sys, используя утилиту Service Control (sc.exe). После этого, сверяются активные процессы системы с заранее заготовленным списком из 142 процессов, связанных с антивирусными приложениями. «Когда вирус находит совпадение, он самостоятельно создаёт идентификатор для взаимодействия с установленным драйвером Avast», — поясняет исследователь Тришан Калра (Trishaan Kalra) из компании Trellix.

Источник изображения: Trellix

Список процессов. Источник изображения: Trellix

Далее с помощью программного интерфейса API DeviceIoControl, вредоносное ПО отправляет команды IOCTL, необходимые для завершения работы целевых процессов. Среди целей атаки называются антивирусы от таких ведущих компаний, как McAfee, Symantec, Sophos и других. При этом способ отключения позволяет хакерам проводить вредоносные действия без оповещения пользователя или блокировки со стороны систем безопасности.

Источник изображения: Trellix

Список процессов. Источник изображения: Trellix

Стоит отметить, что сам по себе метод относительно архаичен. Аналогичные случаи были зафиксированы в начале 2022 года при анализе атак с использованием вымогателя AvosLocker.

В ответ на обнаруженные уязвимости Avast выпустила обновления безопасности своего драйвера, а Microsoft для защиты от подобных атак предлагает использовать политику блокировки уязвимых драйверов, активно обновляемую с каждым крупным релизом Windows.

← В прошлое

© 1997—2024 Электронное периодическое издание "3ДНьюс" | Свидетельство о регистрации СМИ Эл ФС 77-22224

выдано Федеральной Службой по надзору за соблюдением законодательства в сфере массовых коммуникаций и охране культурного наследия

При цитировании документа ссылка на сайт с указанием автора обязательна. Полное заимствование документа является нарушением
российского и международного законодательства и возможно только с согласия редакции 3DNews.

Яндекс.Метрика

Система Orphus

window-new
Контакты Поиск Реклама О сайте
Soft
Hard
Тренды 🔥
В Балтийском море порваны сразу четыре интернет-кабеля и один силовой
Чудеса на виражах: Epic Games Store устроил раздачу головокружительной гоночной игры, которая недоступна в России
Для открытия тёмной материи учёным потребуется всего 10 секунд, а также близкая сверхновая и вагон удачи
МТС представила игровую приставку для облачного гейминга за 4990 рублей
В «РЖД» протестировали применение стаи робопсов на железнодорожной инфраструктуре
Разработчики Hades II раскрыли, когда выйдет второе крупное обновление, и чего ждать дальше 57 мин.
Фейковый юрист Nintendo запугивает блогеров, проходящих в игры на камеру — YouTube не может его остановить 2 ч.
Монетизация, жизнь после релиза и никакого Unreal Engine 5: разработчики российского MMO-шутера Pioner ответили на вопросы игроков 2 ч.
Вышел трейлер первого индийского полнометражного фильма, который сгенерировал ИИ 3 ч.
Продажи Nier: Automata взяли новую высоту после кроссовера со Stellar Blade 5 ч.
OpenAI создаст «корпорацию общественного блага» для перехода на коммерческие рельсы 5 ч.
Российские СМИ и блогеры стали чаще говорить об ИИ в уходящем году, но упоминания отечественных сервисов упали 5 ч.
В открытый доступ попало более 90 Гбайт контента по классическим Halo, включая рабочую сборку первой игры с видом от третьего лица 6 ч.
Intel удалила из Graphics Software функцию Studio для стримеров — ею никто не пользовался 6 ч.
Объём российского IT-рынка в 2024 году превысит 3,3 трлн рублей, а его доля в ВВП страны вырастет до 1,8 % 6 ч.
В ЕС вступил в силу запрет на гаджеты без USB Type-C, но не без исключений 2 ч.
Россиянам ограничили возможность управлять умными лампами Philips Hue 3 ч.
В России приняли новый ГОСТ для ПК и серверов — прошлому было почти 40 лет 4 ч.
YADRO выпустила первые четырёхсокетные серверы V240 G3 6 ч.
«Яндекс» поглотил сервис проката пауэрбанков «Бери заряд!» 7 ч.
FSP выпустила блок питания MEGA TI мощностью 1350 Вт 7 ч.
Японцы придумали, как печатать электромобили на 3D-принтере 9 ч.
Samsung упустила заказ Qualcomm на выпуск 3-нм чипов Snapdragon 8 Elite второго поколения 10 ч.
Стартап Ubitium создал универсальный чип на базе RISC-V с функциями CPU, GPU, DSP и FPGA 10 ч.
Adlink представила платформу для разработчиков I-Pi SMARC Amston Lake с поддержкой 5G-модемов 11 ч.