Avast: hacker abusano del driver anti-rootkit disattivare le difese

Una nuova campagna dannosa sta utilizzando un driver Avast Anti-Rootkit legittimo ma vecchio e vulnerabile per eludere il rilevamento e prendere il controllo del sistema di destinazione disabilitando i componenti di sicurezza. Il malware che rilascia il driver è una variante di un AV Killer. Inoltre, viene fornito con un elenco hardcoded di 142 nomi per i processi di sicurezza di vari fornitori. Poiché il driver può funzionare a livello di kernel, fornisce accesso a parti critiche del sistema operativo e consente al malware di terminare i processi.

I ricercatori di sicurezza dell'azienda di sicurezza informatica Trellix hanno scoperto di recente un nuovo attacco che sfrutta l'approccio BYOVD (bring-your-own-vulnerable-driver) con una vecchia versione del driver anti-rootkit. Ciò serve a bloccare i prodotti di sicurezza su un sistema preso di mira. Il team spiega che una parte di malware chiamata kill-floor.exe rilascia il driver vulnerabile con il nome file ntfs.bin nella cartella utente predefinita di Windows. Successivamente, il malware crea il servizio 'aswArPot.sys' utilizzando Service Control (sc.exe) e registra il driver.

Come accennato, Il malware utilizza un elenco hardcoded di 142 processi associati a strumenti di sicurezza. In seguito. lo confronta con più snapshot di processi attivi sul sistema. Il ricercatore di Trellix Trishaan Kalra afferma che quando trova una corrispondenza, "il malware crea un handle per fare riferimento al driver Avast installato". Quindi sfrutta l'API "DeviceIoControl" per emettere i comandi IOCTL richiesti per terminarlo. Il malware prende di mira i processi di varie soluzioni di sicurezza. Queste includono McAfee, Symantec (Broadcom), Sophos, Avast, Trend Micro, Microsoft Defender, SentinelOne, ESET e BlackBerry. Con le difese disattivate, il malware può eseguire attività dannose senza attivare avvisi all'utente o essere bloccato.

Avast: due problemi simili già risolti negli anni scorsi

Vale la pena notare che procedure simili sono stati osservate nel 2022 dai ricercatori di Trend Micro durante le indagini su un attacco ransomware AvosLocker. A dicembre 2021, il team Incident Response Services di Stroz Friedberg ha scoperto che il ransomware Cuba utilizzava negli attacchi uno script che abusava di una funzione nel driver kernel Anti-Rootkit di Avast per eliminare le soluzioni di sicurezza sui sistemi delle vittime. Nello stesso periodo, i ricercatori di SentinelLabs hanno scoperto due falle di gravità elevata (CVE-2022-26522 e CVE-2022-26523) presenti dal 2016. Queste potevano essere sfruttate "per aumentare i privilegi consentendo loro di disabilitare i prodotti di sicurezza". I due problemi sono stati segnalati ad Avast a dicembre 2021 e l'azienda li ha risolti silenziosamente con aggiornamenti di sicurezza.

Proteggersi da attacchi che sfruttano driver vulnerabili è possibile utilizzando regole che identificano e bloccano i componenti in base alle loro firme o agli hash. Anche Microsoft offre soluzioni, come il file della blocklist dei driver vulnerabili, che viene aggiornato a ogni grande rilascio di Windows. A partire da Windows 11 2022, questa lista è attiva di default su tutti i dispositivi. La versione più recente della lista è disponibile attraverso App Control for Business.