恶意软件利用合法的Avast Anti-rootkit驱动程序来禁用安全软件。Trellix研究人员发现了该攻击并提供了缓解措施。

Trellix的网络安全研究人员发现了一个恶意活动，该活动利用合法的Avast Anti-Rootkit驱动程序aswArPot.sys来禁用安全软件并控制受感染的系统。

这款名为“kill-floor.exe”的恶意软件首先将aswArPot.sys驱动程序放入一个看似无害的Windows目录中，并将其伪装成“ntfs.bin”。然后，它将驱动程序注册为服务，授予恶意软件内核级访问权限 - 这是最高级别的系统权限，允许其终止关键安全进程并控制系统。

该恶意软件包含一个硬编码列表，其中包含142个目标安全应用程序。该恶意软件会持续监控活动进程并将其与此列表进行比较。当发现匹配项时，该恶意软件会使用Avast Anti-Rootkit驱动程序来终止安全进程。

简而言之：Avast驱动程序旨在删除恶意rootkit，但却无意中禁用了合法的安全软件。恶意软件利用这个受信任的驱动程序来避免检测并在系统内悄悄运行。

Trellix对Avast驱动程序的技术分析揭示了负责终止安全进程的特定函数“FUN_14001dc80”。该函数利用标准Windows内核函数(KeAttachProcess和ZwTerminateProcess)执行终止，进一步将恶意活动伪装成正常系统操作。

为了防止此类基于驱动程序的攻击，Trellix建议使用BYOVD(自带易受攻击驱动程序)保护机制。这些机制可以根据其独特的签名或哈希值识别和阻止特定的易受攻击驱动程序。

将这些规则集成到您的防病毒解决方案中后，组织就可以防止恶意软件利用合法驱动程序、提升权限或禁用安全措施。Trellix还提供了特定的BYOVD专家规则来检测和阻止对aswArPot.sys驱动程序的恶意使用。