恶意软件利用合法的 Avast 反 rootkit 驱动程序禁用安全软件。Trellix 研究人员发现了这一攻击并提供了缓解步骤。

摘要：

• 恶意软件利用合法的 Avast Anti-Rootkit 驱动程序获得内核级访问权限。
• 驱动程序被用来终止关键安全进程并夺取系统的控制权。
• BYOVD（自带漏洞驱动程序）保护机制可防止基于驱动程序的攻击。
• 可以部署专家规则来识别和阻止易受攻击的驱动程序。

Trellix 的网络安全研究人员发现了一种恶意活动，它利用合法的 Avast Anti-Rootkit 驱动程序 aswArPot.sys 来禁用安全软件并控制受感染的系统。

攻击如何运作：

该恶意软件被称为 “kill-floor.exe”，它首先将 aswArPot.sys 驱动程序放入一个看似无害的 Windows 目录，并将其伪装成 “ntfs.bin”。然后，它将驱动程序注册为服务，授予恶意软件内核级访问权限–这是系统权限的最高级别，允许它终止关键安全进程并控制系统。

该恶意软件包含一个硬编码的 142 个安全应用程序列表，它的目标是终止这些应用程序。恶意软件持续监控活动进程，并将其与该列表进行比较。当发现匹配时，恶意软件会使用 Avast Anti-Rootkit 驱动程序终止安全进程。

简单地说：Avast 驱动程序旨在清除恶意 rootkit，却无意中禁用了合法的安全软件。恶意软件利用这个可信的驱动程序来躲避检测，并在系统中悄无声息地运行。

技术分析

Trellix 对 Avast 驱动程序的技术分析揭示了负责终止安全进程的特定函数 “FUN_14001dc80”。该函数利用标准的 Windows 内核函数（KeAttachProcess 和 ZwTerminateProcess）进行终止，进一步将恶意活动掩盖为正常的系统操作。

自我保护

为防止此类基于驱动程序的攻击，Trellix 建议使用 BYOVD（自带脆弱驱动程序）保护机制。这些机制可以根据独特的签名或哈希值识别并阻止特定的易受攻击驱动程序。

一旦将这些规则集成到防病毒解决方案中，企业就能防止恶意软件利用合法驱动程序、提升权限或禁用安全措施。Trellix 还提供了一个特定的 BYOVD 专家规则，用于检测和阻止对 aswArPot.sys 驱动程序的恶意使用。