I ricercatori di Trellix hanno individuato una campagna malware che sfrutta un vecchio driver vulnerabile di Avast per disattivare le protezioni delle soluzioni di sicurezza, incluse quelle dell’azienda di Praga (acquisita da NortonLifeLock nel 2021). Questo tipo di attacco è molto popolare tra i cybercriminali perché i driver sono eseguiti a livello kernel.
Driver legittimo, ma pericoloso
La tecnica nota come BYOVD (Bring Your Own Vulnerable Driver) permette di sfruttare driver vulnerabili che Windows considera affidabili, in quanto firmati da software house legittime. Negli attacchi individuati dagli esperti di Trellix è stato usato un vecchio driver anti-rootkit di Avast (aswArPot.sys).
Un malware (kill-floor.exe) copia il driver vulnerabile con il nome ntfs.bin nella directory C:\Users\Default\AppData\Local\Microsoft\Windows. Successivamente crea il servizio aswArPot.sys con Service Control (sc.exe) che registra il driver.
Sfruttando quest’ultimo, il malware ottiene l’accesso di livello kernel a Windows, quindi inizia a cercare e terminare 142 processi delle soluzioni di sicurezza presenti in un elenco hardcoded, utilizzando comandi IOCTL. L’elenco include i processi degli antivirus più popolari, tra cui quelli della stessa Avast, Symantec, Microsoft, McAfee, Sophos, Trend Micro, SentinelOne e ESET.
L’accesso a livello kernel consente di eseguire qualsiasi attività sul computer, aggirando le protezioni del sistema operativo e dei software di sicurezza. Microsoft aggiorna la blocklist dei driver per Windows 11 due volte all’anno. Gli utenti possono anche aggiornare manualmente la blocklist con la policy App Control, seguendo le istruzioni indicate nella pagina di supporto.
Ti potrebbe interessare
27 nov 2024