Slušaj vest

Napad bi deaktivirao antivirusnu zaštitu i dobio pristup sistemu. Malver koristi legitimni ali stari Avast Anti-Rootkit drajver (asvArPot.sys) i manipuliše njime da bi obavio svoj destruktivni zadatak.

Reč je o malveru koji je varijanta AV Killera, koji ima kodiranu listu sa 142 procesa povezanih sa bezbednosnim alatima različitih proizvođača, koju koristi za proveru aktivnih procesa na sistemu.

shutterstock-1421969114.jpg
Shutterstock 

Pošto drajver može da radi na nivou kernela, on malveru obezbeđuje pristup kritičnim delovima operativnog sistema i omogućava mu da prekine procese, uključujući i one koji se odnose na bezbednosni softver, koji bi inače mogli da upozore na infekciju sistema ili je blokiraju.

Napad počinje tako što deo malvera, fajl kill-floor.exe, ispušta ranjivi Avast Anti-Rootkit drajver (ntfs.bin) u u podrazumevani Windows korisnički folder. Malver zatim kreira servis aswArPot.sys koristeći Service Control (sc.exe) i registruje drajver.

shutterstock_sajber napad (5).jpg
Shutterstock 

„Pošto drajveri za režim kernela mogu da zamene procese u korisničkom režimu, Avast drajver je u stanju da prekine procese na nivou kernela, zaobilazeći bez napora mehanizme zaštite od neovlašćenog pristupa većine antivirusnih i EDR rešenja“, kažu istraživači.

Malver prekida procese različitih bezbednosnih rešenja, uključujući softver kompanija McAfee, Symantec, Sophos, Avast, Trend Micro, Microsoft Defender, SentinelOne, ESET i BlackBerry.

shutterstock-malwer-5.jpg
Shutterstock 

Početni vektor pristupa koji se koristi za infekciju trenutno nije jasan. Takođe nije poznato koliko su ovi napadi rašireni i ko su mete.

BYOVD napadi su postali sve češći, a poslednjih nekoliko godina ovaj metod napada najviše koriste ransomware grupe.

Izvor: Informacija/Kurir/Darko Mulic