安全軟件組件反成黑客幫兇：研究公司曝光攻擊者借用 Avast 殺軟內(nèi)置驅(qū)動發(fā)動攻擊

IT之家 11 月 26 日消息，安全公司 Trellix 發(fā)文，稱有黑客借用 Avast 殺軟內(nèi)置的組件作為跳板，以此終止受害者設(shè)備中防火墻、EDR 端點安全防護進程，從而控制受害者設(shè)備。

據(jù)介紹，相關(guān)黑客使用名為 kill-floor.exe 的惡意程序，首先在受害者計算機上部署 Avast 殺軟的 Anti-Rootkit 驅(qū)動程序組件 aswArPot.sys，然后投放另一個合法的內(nèi)核驅(qū)動程序，命名為 ntfs.bin。

在完成驅(qū)動程序部署后，惡意軟件利用系統(tǒng)工具 sc.exe 創(chuàng)建名為 aswArPot.sys 的服務(wù)，將 ntfs.bin 注冊到系統(tǒng)中。隨后 kill-floor.exe 便會掃描受害者計算機上的進程列表，通過調(diào)用 DeviceIoControl API 并發(fā)送特定的 IOCTL 代碼終止受害者設(shè)備防火墻、EDR 端點安全防護進程。

安全公司表示，黑客這種攻擊手法主要借用了合法的安全軟件組件，因此能夠繞過傳統(tǒng)的安全防護措施，給安全防護帶來了新的挑戰(zhàn)。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。