Hackers exploram driver anti-rootkit
25 de Novembro de 2024

Uma nova campanha maliciosa está utilizando um driver de Anti-Rootkit da Avast legítimo, porém antigo e vulnerável, para escapar da detecção e assumir o controle do sistema alvo ao desativar componentes de segurança.

O malware que carrega o driver é uma variante de um AV Killer de nenhuma família particular.

Ele vem com uma lista hardcoded de 142 nomes para processos de segurança de diversos fornecedores.

Uma vez que o driver pode operar no nível do kernel, ele proporciona acesso a partes críticas do sistema operacional e permite que o malware termine processos.

Pesquisadores de segurança na empresa de cibersegurança Trellix descobriram recentemente um novo ataque que se aproveita da abordagem bring-your-own-vulnerable-driver (BYOVD) com uma versão antiga do driver anti-rootkit para interromper produtos de segurança em um sistema alvo.

Eles explicam que um pedaço do malware com o nome de arquivo kill-floor.exe solta o driver vulnerável com o nome de arquivo ntfs.bin na pasta padrão de usuários do Windows.

Em seguida, o malware cria o serviço ‘aswArPot.sys’ usando o Service Control (sc.exe) e registra o driver.

Depois, o malware utiliza uma lista hardcoded de 142 processos associados a ferramentas de segurança e confronta com múltiplos snapshots de processos ativos no sistema.

O pesquisador da Trellix, Trishaan Kalra, diz que quando encontra uma correspondência, "o malware cria um handle para referenciar o driver da Avast instalado."

Em seguida, ele utiliza a API ‘DeviceIoControl’ para emitir os comandos IOCTL necessários para terminá-lo.

Como visto na captura de tela acima, o malware visa processos de diversas soluções de segurança, incluindo aqueles da McAfee, Symantec (Broadcom), Sophos, Avast, Trend Micro, Microsoft Defender, SentinelOne, ESET e BlackBerry.

Com as defesas desativadas, o malware pode realizar atividades maliciosas sem disparar alertas para o usuário ou ser bloqueado.

Vale ressaltar que o driver e procedimentos similares foram observados no início de 2022 por pesquisadores da Trend Micro durante a investigação de um ataque de ransomware AvosLocker.

Em dezembro de 2021, a equipe de Serviços de Resposta a Incidentes da Stroz Friedberg descobriu que ransomwares de Cuba utilizados em ataques exploravam uma função no driver do kernel Anti-Rootkit da Avast para matar soluções de segurança nos sistemas das vítimas.

Na mesma época, pesquisadores da SentinelLabs descobriram duas falhas de alta gravidade (CVE-2022-26522 e CVE-2022-26523) que estavam presentes desde 2016, as quais poderiam ser exploradas "para escalar privilégios permitindo que desativem produtos de segurança."

As duas questões foram reportadas à Avast em dezembro de 2021 e a empresa as abordou silenciosamente com atualizações de segurança.

Proteger contra ataques que dependem de drivers vulneráveis é possível usando regras que podem identificar e bloquear componentes baseados em suas assinaturas ou hashes, como esta recomendada pela Trellix.

A Microsoft também tem soluções, como o arquivo de política de lista de bloqueio de drivers vulneráveis, que é atualizado a cada grande lançamento do Windows.

A partir do Windows 11 2022, a lista está ativa por padrão em todos os dispositivos.

A versão mais recente da lista está disponível por meio do App Control for Business.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...