Siber güvenlik araştırmacıları, güvenlik korumalarını devre dışı bırakmak ve sonuçta virüslü sisteme erişim sağlamak için Kendi Savunmasız Sürücünüzü Getirin (BYOVD) adlı bir teknikten yararlanan yeni bir kötü amaçlı kampanyayı ortaya çıkardı.
Trellix güvenlik araştırmacısı Trishaan Kalra geçen hafta yayınlanan bir analizde, “Bu kötü amaçlı yazılım daha kötü bir yol izliyor: meşru bir Avast Anti-Rootkit sürücüsünü (aswArPot.sys) bırakıyor ve onu yıkıcı amacını gerçekleştirmek için yönlendiriyor.” dedi.
“Kötü amaçlı yazılım, güvenlik süreçlerini sonlandırmak, koruyucu yazılımı devre dışı bırakmak ve virüslü sistemin kontrolünü ele geçirmek için sürücünün sağladığı derin erişimden yararlanıyor.”
Saldırının başlangıç noktası, meşru Avast Anti-Rootkit sürücüsünü bırakan yürütülebilir bir dosyadır (kill-floor.exe). Bu dosya daha sonra kötü amaçlı eylemlerini gerçekleştirmek için Hizmet Denetimi’ni (sc.exe) kullanan bir hizmet olarak kaydedilir.
Sürücü çalışır hale geldiğinde, kötü amaçlı yazılım sisteme çekirdek düzeyinde erişim elde ederek, güvenlik yazılımıyla ilgili olanlar da dahil olmak üzere aksi takdirde alarm verebilecek toplam 142 işlemi sonlandırmasına olanak tanıyor.
Bu, sistem üzerinde aktif olarak çalışan süreçlerin anlık görüntülerinin alınması ve bunların adlarının, sonlandırılacak süreçlerin sabit kodlanmış listesiyle karşılaştırılması yoluyla gerçekleştirilir.
Kalra, “Çekirdek modu sürücüleri kullanıcı modu işlemlerini geçersiz kılabildiğinden Avast sürücüsü, çoğu antivirüs ve EDR çözümünün kurcalamaya karşı koruma mekanizmalarını zahmetsizce atlayarak çekirdek düzeyinde işlemleri sonlandırabiliyor” dedi.
Kötü amaçlı yazılımı bırakmak için kullanılan tam başlangıç erişim vektörü şu anda net değil. Bu saldırıların ne kadar yaygın olduğu ve hedefin kim olduğu da bilinmiyor.
Bununla birlikte BYOVD saldırıları, imzalı ancak kusurlu sürücüleri güvenlik kontrollerini atlamak için yeniden kullandıkları için tehdit aktörleri tarafından son yıllarda fidye yazılımı dağıtmak üzere benimsenen giderek yaygınlaşan bir yöntem haline geldi.
Bu Mayıs ayının başlarında, Elastic Security Labs, güvenlik süreçlerini kapatmak için Avast sürücüsünden yararlanan GHOSTENGINE kötü amaçlı yazılım kampanyasının ayrıntılarını ortaya çıkardı.