登录

会员权益

获取需求

查看名片

专属客服

尊贵标识

VIP低至1.5U/天

杀毒软件Avast的驱动程序组件遭到滥用,黑客企图停用受害电脑防护机制

分享

支付動態

2024-11-26

资安业者Trellix近期发现一波自动驱动程序(BYOVD)攻击行动,黑客滥用Avast杀毒软件组件aswArPot.sys,而能从操作系统内核层级终止受害电脑的杀毒软件及EDR系统

为了回避端点防护的侦测,黑客滥用杀毒软件组件从事自带驱动程序(BYOVD)攻击的手法,今年可说是越来越频繁,如今甚至出现有人针对多家厂牌的端点防护系统进行破坏的情形。

例如,资安业者Trellix近期揭露的攻击行动,就是典型的例子。研究人员发现由文件名kill-floor.exe开始的恶意程序感染链,一旦该运行档启动,就会于受害电脑部署Avast的Anti-Rootkit驱动程序aswArPot.sys,接着,攻击者再植入另一个合法的核心驱动程序,文件名为ntfs.bin。

在完成上述投放驱动程序的步骤,此恶意软件就会滥用公用程序sc.exe,产生名为aswArPot.sys的服务,目的是向系统注册ntfs.bin。

然后,kill-floor.exe就会比对受害电脑上的处理进程,若出现攻击者认定的142种资安工具处理进程名称,就会加入Avast驱动程序的参照数据,并调用名为DeviceIoControl的API,发送特定的IOCTL码,借由Avast驱动程序,以内核层级来终止处理进程,导致受害电脑的杀毒软件或EDR停止运作。

免责声明:
详情
HUIDU.io

GROWTH DRIVEN GLOBAL PTE. LTD. 202618650K

101 THOMSON ROAD, #28-03A, UNITED SQUARE, SINGAPORE 307591

Copyright 2026 HuiDu