Pesquisadores de cibersegurança descobriram uma nova campanha maliciosa que utiliza uma técnica chamada Bring Your Own Vulnerable Driver (BYOVD) para desarmar proteções de segurança e, por fim, ganhar acesso ao sistema infectado.
"Este malware toma um caminho mais sinistro: ele solta um driver legítimo do Avast Anti-Rootkit (aswArPot.sys) e manipula-o para realizar sua agenda destrutiva", disse o pesquisador de segurança da Trellix, Trishaan Kalra, em uma análise publicada na semana passada.
O malware explora o acesso profundo fornecido pelo driver para terminar processos de segurança, desabilitar software protetor, e assumir controle do sistema infectado. O ponto de partida do ataque é um arquivo executável (kill-floor.exe) que solta o driver legítimo do Avast Anti-Rootkit, que é subsequentemente registrado como um serviço usando o Service Control (sc.exe) para realizar suas ações maliciosas.
Uma vez que o driver está operacional, o malware ganha acesso no nível de kernel ao sistema, permitindo que ele termine um total de 142 processos, incluindo aqueles relacionados a softwares de segurança, que poderiam de outra forma acionar um alarme.
Isso é realizado capturando snapshots dos processos ativamente em execução no sistema e verificando seus nomes contra a lista codificada de processos a serem finalizados.
"Como os drivers no modo kernel podem sobrescrever processos no modo usuário, o driver da Avast é capaz de terminar processos no nível do kernel, contornando sem esforço os mecanismos de proteção contra adulteração da maioria dos soluções de antivírus e EDR", disse Kalra.
O vetor de acesso inicial exato usado para soltar o malware atualmente não está claro.
Também não se sabe quão disseminados são esses ataques e quem são os alvos.
Dito isso, ataques BYOVD se tornaram um método cada vez mais comum adotado por atores de ameaças para implantar ransomware nos últimos anos, pois reusam drivers assinados mas falhos para burlar controles de segurança.
Mais cedo em maio, o Elastic Security Labs revelou detalhes de uma campanha de malware GHOSTENGINE que se aproveitou do driver da Avast para desligar processos de segurança.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...