为了回避端点防护的侦测,黑客滥用杀毒软件组件从事自带驱动程序(BYOVD)攻击的手法,今年可说是越来越频繁,如今甚至出现有人针对多家厂牌的端点防护系统进行破坏的情形。
例如,资安业者Trellix近期揭露的攻击行动,就是典型的例子。研究人员发现由文件名kill-floor.exe开始的恶意程序感染链,一旦该运行档启动,就会于受害电脑部署Avast的Anti-Rootkit驱动程序aswArPot.sys,接着,攻击者再植入另一个合法的核心驱动程序,文件名为ntfs.bin。
在完成上述投放驱动程序的步骤,此恶意软件就会滥用公用程序sc.exe,产生名为aswArPot.sys的服务,目的是向系统注册ntfs.bin。
然后,kill-floor.exe就会比对受害电脑上的处理进程,若出现攻击者认定的142种资安工具处理进程名称,就会加入Avast驱动程序的参照数据,并调用名为DeviceIoControl的API,发送特定的IOCTL码,借由Avast驱动程序,以内核层级来终止处理进程,导致受害电脑的杀毒软件或EDR停止运作。



2024-11-26
