Vigyázat! Hackerek az Avast hibáját kihasználva törik fel a rendszereket
A kibertámadás során a hackerek egy elavult Avast-illesztőprogramot használnak a biztonsági rendszerek leállítására, hogy azután átvegyék az irányítást a számítógépek felett.
A Trellix biztonsági szakemberei egy új, rendkívül kifinomult malware-kampányt azonosítottak, amely az Avast egy elavult, anti-rootkit illesztőprogramjának (ntfs.bin) sebezhetőségét használja ki. A „kill-floor.exe” néven ismert malware egy olyan módszert alkalmaz, amely lehetővé teszi a támadóknak, hogy kikapcsolják a különböző biztonsági szolgáltatók védelmi rendszereit: konkrétan 142 biztonsági szolgáltatáshoz kapcsolódó folyamatot képesek leállítani ezzel.
Mi a BYOVD és miért veszélyes?
A módszer a „hozd a saját sebezhető illesztőprogramodat” (Bring Your Own Vulnerable Driver – BYOVD) néven vált ismertté szakmai körökben. A kernel szintjén működik, ami azt jelenti, hogy a támadók hozzáférhetnek az operációs rendszer legkritikusabb részeihez, lehetővé téve számukra, hogy átvegyék a teljes irányítást a gép felett.
A támadás során a malware egy új szolgáltatást hoz létre az „sc.exe” segítségével „aswArPot.sys” néven, amely az illesztőprogram regisztrálását végzi, és ezután IOCTL-parancsokkal kezdi el támadni a védelmi folyamatokat. A szakértők szerint ez a technika egyre gyakoribb, és a modern kibertámadások növekvő kifinomultságát tükrözi.
A BYOVD-technika lényege, hogy a támadók kihasználják a rendszeren már meglévő, sebezhető illesztőprogramokat, hogy megkerüljék a biztonsági rendszereket és magasabb szintű jogosultságokat szerezzenek. Bár ez a taktika nem új keletű, az elmúlt években egyre fejlettebbé vált.
Egy jól ismert példa erre a Stuxnet féreg, amelyet 2010-ben fedeztek fel. Ez a malware a Windows nulladik napi sebezhetőségeit használta ki, hogy kritikus infrastruktúrákat támadjon meg Iránban. A Stuxnet az egyik első olyan dokumentált malware volt, amely BYOVD-taktikát alkalmazott geopolitikai célú támadások végrehajtására.
Hogyan ismerhető fel a malware?
Trishaan Kalra, a Trellix szakértője kifejtette, hogy a malware egy handle-t hoz létre az Avast telepített illesztőprogramjának hivatkozására. Ez lehetővé teszi, hogy a malware gyakorlatilag észrevétlenül manipulálja a biztonsági folyamatokat.
A szakemberek figyelmeztetnek: ha a védelem ki van kapcsolva, a támadók szabadon tevékenykedhetnek, adatokat lophatnak és veszélyeztethetik az adatvédelmet anélkül, hogy riasztásokat generálnának. Ezért kiemelten fontos, hogy a felhasználók rendszeresen frissítsék rendszereiket, és figyeljenek az elavult illesztőprogramokra.
Hogyan védhetjük rendszereinket?
A szakértők azt javasolják az IT-rendszergazdáknak, hogy alkalmazzanak olyan szabályokat, amelyek képesek azonosítani és blokkolni a rosszindulatú komponenseket hash-ek vagy aláírások alapján. Emellett a Windows 11 2022-es kiadása óta a Microsoft alapértelmezés szerint aktiválta a sebezhető illesztőprogramok listáját, amelyet folyamatosan frissítenek. Ez a proaktív lépés segít a BYOVD-támadások megelőzésében.
A múltbeli támadások tanulságai
Hasonló BYOVD-támadások már korábban is előfordultak. 2021 végén például a Stroz Friedberg csapata észlelte, hogy a „Cuba” nevű ransomware egy sebezhető illesztőprogramot használt a támadáshoz. Ugyanebben az időben a SentinelLabs két súlyos hibát azonosított az Avast illesztőprogramjában, amelyeket azóta kijavítottak.
Az ilyen támadások ismétlődése rávilágít a szoftverfrissítések és a sebezhetőségek kezelésének fontosságára. A vállalatoknak és egyéni felhasználóknak is körültekintően kell tehát eljárniuk a biztonsági rendszerek naprakészen tartásában, ha biztonságban szeretnék tudni rendszereiket.