Спецпроекты

Безопасность Пользователю Техника

Хакеры отключают скандально известный антивирус через его же собственный драйвер

Хакеры начали атаковать компьютеры под управлением ОС Microsoft Windows через компонент скандального известного антивируса Avast, компания-разработчик которого несколько лет назад была поймана на торговле данными пользователей. Новый вредонос умеет выводить из строя ИБ-решения большого числа вендоров, в том числе и Avast.

Атака на Avast через Avast

Специалисты в сфере информационной безопасности обратили внимание на новую вредоносную кампанию, в которой задействован драйвер скандально известного антивируса Avast, с 2021 г. принадлежащего американской компании Norton LifeLock, пишет Bleeping Computer.

Новый вредонос относится к классу «убийц антивирусов» (AV Killier), который, по оценке экспертов, не принадлежит к какому-либо из известных семейств ПО данного типа, и применяется для вывода из строя установленных экземпляров ИБ-решений целого ряда вендоров с помощью специального драйвера.

Поскольку поставляемый драйвер способен работать на уровне ядра, вредоносное ПО имеет возможность получить доступ к критически важным компонентам операционной системы и управлять запущенными процессами, в том числе и принудительно завершать неугодные ей программы.

Драйвер Avast используется для закрепления в ОС и выведения из строя ИБ-решений

Исследователи из компании Trellix недавно обнаружили новую серию кибератак, в которых злоумышленники используют подход BYOVD (Bring-Your-Own-Vulnerable-Driver; англ. «принеси собственный уязвимый драйвер»), то есть проникают и закрепляются в целевой системе за счет эксплуатации известных уязвимостей, как правило, в легитимном подписанном драйвере устройства. В данном конкретном случае таким уязвимым компонентом выступает специальный драйвер антивируса Avast старых версий для защиты от руткитов.

Руткит – это тип вредоносных программ, предназначенных для предоставления злоумышленникам доступа к целевому устройству и контроля над ним, гласит словарь угроз «Лаборатории Касперского».

Механизм действия вредоноса

Вредоносное ПО в изученной Trellix кампании проникает в целевую систему за счет компонента, который распространяется в виде исполнимого файла «kill-floor.exe». Этот компонент после своего запуска подгружает из Сети уязвимый драйвер – файл «ntfs.bin», который размещается в каталоге Windows по умолчанию (как правило, это «C:\Windows»). Затем зловред создает системную службу («aswArPot.sys») с помощью инструмента управления службами Windows («sc.exe») и регистрирует драйвер в ОС.

В дальнейшем вредонос ведет наблюдение за активными процессами в ОС и сверяет их имена с собственным перечнем известного антивирусного ПО. Этот перечень насчитывает 142 элемента и встроен непосредственно в код зловреда.

По словам эксперта Trellix Тришаана Калра (Trishaan Kalra), с помощью интерфейса (API) управления входными и выходными данными (IOCTL) и функции DeviceIoControl (обеспечивает взаимодействие драйверов устройств и запущенных процессов в Windows) вредонос посылает драйверу команду завершить процесс ИБ-инструмента, которую тот беспрекословно выполняет и тем самым лишает компьютер жертвы активной защиты. В дальнейшем вирус имеет возможность выполнять свои функции, не выдавая своего присутствия в системе.

Анализ кода зловреда, проведенный специалистами Trellix, показал, что в числе распознаваемых программой ИБ-решений продукты таких именитых компаний как McAffee, Symantec (Broadcom), Sophos, Avast, Trend Micro, Microsoft, SentinelOne, ESET и BlackBerry.

Другие заметные BYOVD-атаки

В конце 2022 г. CNews писал о серии кибератак, осуществленных с использованием вредоносных драйверов устройств для Windows, которые были предварительно подписаны Microsoft.

ИБ-компании Sophos, Mandiant и SentinelOne зафиксировали применение нового инструментария целым рядом известных группировок хакеров-вымогателей. В их числе Cuba и Hive. Кроме того, похожий тулкит еще в августе 2022 г. использовали участники UNC3944, которая для получения первоначального доступа в сеть организаций использует технику подмены SIM-карт.

В ответ Microsoft выпустила обновления безопасности, с помощью которых отозвала сертификаты, использованные для подписи вредоносных файлов, и заблокировала учетные записи, через которые были отправлены заявки на аттестацию соответствующих драйверов.

Чем «прославился» Avast

Компоненты Avast использовались хакерами в качестве платформы для проведения кибератак и в прошлом. Так, в марте 2020 г. стало известно о наличии уязвимости в модуле Avast для обработки скриптов JavaScript.

Негативное влияние на репутацию Avast оказали выводы расследования, проведенного изданиями PCMag и Vice (Motherboard) в 2021 г. Журналисты тогда установили, что антивирус на протяжении длительного времени собирал и передавал разработчикам гигантские массивы пользовательских данных, которые затем продавались сторонним организациям. Для этого Avast даже открыла дочернюю компанию, клиентами которой были, в числе прочих, Microsoft, Google и IBM. Avast, вероятно, успела заработать на этом несколько миллионов долларов к моменту, когда задействованная ей схема обогащения на данных клиентов была раскрыта.

Дмитрий Степанов

Короткая ссылка