Một chiến dịch tấn công mạng mới đây đã phát giác ra việc các tin tặc lợi dụng driver Avast Anti-Rootkit, một phần mềm bảo mật hợp pháp nhưng đã lỗi thời và dễ bị tổn thương, nhằm thoát khỏi sự phát hiện và chiếm quyền kiểm soát hệ thống mục tiêu bằng cách vô hiệu hóa các thành phần bảo mật. Malware trong chiến dịch này là một biến thể của phần mềm AV Killer không thuộc bất kỳ gia đình nào nhất định. Đặc biệt, nó đi kèm với danh sách cứng 142 tên của các quy trình bảo mật từ nhiều nhà cung cấp khác nhau.
Driver này có thể hoạt động ở cấp độ kernel, cho phép malware truy cập đến các phần quan trọng của hệ điều hành cũng như thực thi việc ngưng các tiến trình bảo mật. Các nhà nghiên cứu từ công ty an ninh mạng Trellix đã phát hiện thấy một cuộc tấn công mới tận dụng phương thức “bring-your-own-vulnerable-driver” (BYOVD) với phiên bản cũ của driver anti-rootkit để ngăn chặn các sản phẩm bảo mật trên hệ thống được nhắm mục tiêu.
Theo thông tin từ Trellix, phần mềm độc hại với tên file kill-floor.exe đã thả driver dễ tổn thương mang tên ntfs.bin tại thư mục người dùng mặc định trên Windows. Sau đó, nó tạo dịch vụ ‘aswArPot.sys’ thông qua công cụ Service Control (sc.exe) để đăng ký driver.
Malware này tiếp tục sử dụng danh sách cứng 142 quy trình liên quan đến các công cụ bảo mật và so sánh với nhiều hình chóp (snapshot) của các quy trình đang hoạt động trên hệ thống. Khi tìm thấy sự khớp, malware tạo một handle để tham chiếu đến driver Avast đã được cài đặt. Tiếp đó, nó đã khai thác API ‘DeviceIoControl’ để phát hành các lệnh IOCTL cần thiết nhằm ngừng hoạt động của driver này.
Các tiến trình bị nhắm đến từ nhiều giải pháp bảo mật nổi tiếng khác nhau, bao gồm McAfee, Symantec (Broadcom), Sophos, Avast, Trend Micro, Microsoft Defender, SentinelOne, ESET và BlackBerry. Khi các biện pháp phòng thủ bị vô hiệu hóa, malware có thể thực hiện các hoạt động độc hại mà không gây ra cảnh báo cho người dùng hay bị chặn lại.
Điều này không phải là vô nghĩa, vì driver và các quy trình tương tự đã được ghi nhận bởi các nhà nghiên cứu tại Trend Micro vào đầu năm 2022 trong một cuộc điều tra tấn công ransomware AvosLocker. Trước đó vào tháng 12 năm 2021, đội ngũ Response Services của Stroz Friedberg cũng phát hiện rằng ransomware Cuba đã sử dụng một script để khai thác chức năng trong driver Avast’s Anti-Rootkit để vô hiệu hóa các giải pháp bảo mật trên hệ thống của nạn nhân.
Các lỗi nghiêm trọng với mã CVE-2022-26522 và CVE-2022-26523, mà các nhà nghiên cứu tại SentinelLabs đã phát hiện vào khoảng thời gian đó, đã tồn tại từ năm 2016, có thể được khai thác nhằm tăng quyền hạn cho phép chúng vô hiệu hóa các sản phẩm bảo mật.