Trellix高级研究中心近日揭示了一种新型恶意攻击手段,这种攻击通过滥用受信任的安全工具,可以悄然突破防御,窃取系统控制权。攻击者利用Avast反Rootkit驱动程序(aswArPot.sys)这一合法安全组件,将其转化为攻击武器,绕过防火墙、终止安全进程,并完全控制目标设备。
报告详细描述了这一恶意活动的技术细节,揭示了攻击者如何通过这一看似无害的驱动程序完成恶意操作。在这一攻击链中,攻击者首先将Avast反Rootkit驱动程序注入目标系统,并将其伪装成名为ntfs.bin的文件存放在系统目录中。这一伪装方式使得恶意程序能够顺利绕过安全检测工具,并不会引起任何异常警报。
一旦驱动程序成功注入,恶意软件就会通过Windows的命令行工具sc.exe创建一个服务,激活驱动程序后获得对整个操作系统的完全控制权。此时,攻击者可以自由禁用或干扰杀毒软件、端点检测与响应(EDR)解决方案等安全防护措施,令目标系统几乎“处于裸露状态”。
这一攻击链的核心组件是名为kill-floor.exe的恶意软件。该软件首先将Avast反Rootkit驱动程序注册为服务,并监控系统中的活动进程。通过与硬编码的进程白名单(包含142个知名安全软件进程)对比,恶意软件能够精准识别并终止目标安全进程。
Trellix指出,攻击者利用Windows的DeviceIoControl API和特定的IOCTL代码(0x9988c094),控制Avast驱动程序终止防病毒软件等安全进程。由于内核模式驱动程序能直接操作操作系统的核心,攻击者可以绕过用户模式的安全防护,进行深度篡改。
这一攻击手法被称为BYOVD(Bring Your Own Vulnerable Driver),是一种新兴的攻击方式,旨在通过合法的驱动程序绕过安全防护。现有的防御工具通常无法有效区分合法和恶意驱动程序的使用,从而为攻击者提供了攻击入口。
Trellix在报告中强调,为应对BYOVD攻击,组织需要特别加强驱动程序的安全检测。通过部署基于驱动程序特征码、哈希值的检测机制,可以有效识别并阻止恶意驱动程序的加载和滥用。具体而言,企业可采取以下措施提升防御能力:
定期审查和更新驱动程序:确保系统中的所有驱动程序均为最新版本,及时修补可能的漏洞。
强化BYOVD防护:在EDR系统中配置专门针对驱动程序的检测规则,能够识别并阻止易受攻击的驱动程序和未授权的驱动程序加载。
行为分析和实时监控:加强对内核行为的监控,利用行为分析技术识别可疑的系统调用和进程间通信,及早发现潜在的攻击活动。
限制内核模式驱动的权限:最小化内核模式驱动程序的使用范围,限制其在系统中的访问权限,避免恶意驱动程序的恶用。
以上攻击活动揭示了攻击者如何利用合法的安全工具突破传统防线,进一步验证了攻击者日益创新的技术手段。面对BYOVD攻击的威胁,组织需要采取更加细致和综合的安全防护措施,从驱动程序管理、系统行为监控到内核级别的防护,都需要加强层级化的安全策略,以确保系统免受此类精巧攻击的侵害。
文章参考:
https://securityonline.info/weaponized-defenses-malicious-campaign-hijacks-legitimate-security-drivers/
推荐阅读
01 |
02 |
03 |
安全KER
安全KER致力于搭建国内安全人才学习、工具、淘金、资讯一体化开放平台,推动数字安全社区文化的普及推广与人才生态的链接融合。目前,安全KER已整合全国数千位白帽资源,联合南京、北京、广州、深圳、长沙、上海、郑州等十余座城市,与ISC、XCon、看雪SDC、Hacking Group等数个中大型品牌达成合作。
注册安全KER社区
链接最新“圈子”动态
