Uma nova campanha maliciosa está utilizando um driver de Anti-Rootkit da Avast legítimo, porém antigo e vulnerável, para escapar da detecção e assumir o controle do sistema alvo ao desativar componentes de segurança.
O malware que carrega o driver é uma variante de um AV Killer de nenhuma família particular.
Ele vem com uma lista hardcoded de 142 nomes para processos de segurança de diversos fornecedores.
Uma vez que o driver pode operar no nível do kernel, ele proporciona acesso a partes críticas do sistema operacional e permite que o malware termine processos.
Pesquisadores de segurança na empresa de cibersegurança Trellix descobriram recentemente um novo ataque que se aproveita da abordagem bring-your-own-vulnerable-driver (BYOVD) com uma versão antiga do driver anti-rootkit para interromper produtos de segurança em um sistema alvo.
Eles explicam que um pedaço do malware com o nome de arquivo kill-floor.exe solta o driver vulnerável com o nome de arquivo ntfs.bin na pasta padrão de usuários do Windows.
Em seguida, o malware cria o serviço ‘aswArPot.sys’ usando o Service Control (sc.exe) e registra o driver.
Depois, o malware utiliza uma lista hardcoded de 142 processos associados a ferramentas de segurança e confronta com múltiplos snapshots de processos ativos no sistema.
O pesquisador da Trellix, Trishaan Kalra, diz que quando encontra uma correspondência, "o malware cria um handle para referenciar o driver da Avast instalado."
Em seguida, ele utiliza a API ‘DeviceIoControl’ para emitir os comandos IOCTL necessários para terminá-lo.
Como visto na captura de tela acima, o malware visa processos de diversas soluções de segurança, incluindo aqueles da McAfee, Symantec (Broadcom), Sophos, Avast, Trend Micro, Microsoft Defender, SentinelOne, ESET e BlackBerry.
Com as defesas desativadas, o malware pode realizar atividades maliciosas sem disparar alertas para o usuário ou ser bloqueado.
Vale ressaltar que o driver e procedimentos similares foram observados no início de 2022 por pesquisadores da Trend Micro durante a investigação de um ataque de ransomware AvosLocker.
Em dezembro de 2021, a equipe de Serviços de Resposta a Incidentes da Stroz Friedberg descobriu que ransomwares de Cuba utilizados em ataques exploravam uma função no driver do kernel Anti-Rootkit da Avast para matar soluções de segurança nos sistemas das vítimas.
Na mesma época, pesquisadores da SentinelLabs descobriram duas falhas de alta gravidade (CVE-2022-26522 e CVE-2022-26523) que estavam presentes desde 2016, as quais poderiam ser exploradas "para escalar privilégios permitindo que desativem produtos de segurança."
As duas questões foram reportadas à Avast em dezembro de 2021 e a empresa as abordou silenciosamente com atualizações de segurança.
Proteger contra ataques que dependem de drivers vulneráveis é possível usando regras que podem identificar e bloquear componentes baseados em suas assinaturas ou hashes, como esta recomendada pela Trellix.
A Microsoft também tem soluções, como o arquivo de política de lista de bloqueio de drivers vulneráveis, que é atualizado a cada grande lançamento do Windows.
A partir do Windows 11 2022, a lista está ativa por padrão em todos os dispositivos.
A versão mais recente da lista está disponível por meio do App Control for Business.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...