Kötü amaçlı yazılımın, tespit edilmekten kaçınmak için meşru Avast Anti-Rootkit sürücüsünü (aswArPot.sys) bırakarak daha hain bir taktik kullandığı kötü amaçlı bir kampanya keşfedildi.
Kötü amaçlı yazılım, güvenlik süreçlerini durdurmak, koruyucu yazılımı kapatmak ve güvenliği ihlal edilmiş sistemi ele geçirmek için sürücünün derin erişiminden yararlanır.
Kötü Amaçlı Yazılım Nasıl Çalışır?
Kötü amaçlı yazılımın (kill-floor.exe) enfeksiyon zinciri, yasal bir Avast Anti-Rootkit sürücüsü (aswArPot.sys) ile başlar. Meşru çekirdek sürücüsü “ntfs.bin”, kötü amaçlı yazılım tarafından “C:\Users\Default\AppData\Local\Microsoft\Windows” konumunda bırakılır. dizin.
KOBİ ve MSP Siber Güvenlik Liderleri için 2024 MITRE ATT&CK Sonuçlarından Yararlanma – Ücretsiz Web Seminerine Katılın
Trellix Güvenlik araştırmacıları, “Kötü amaçlı yazılım, kötü amaçlı faaliyetlerini gerçekleştirmek için özel hazırlanmış bir sürücü kullanmak yerine, ona meşruiyet havası veren ve sistemin savunmasını baltalamaya hazırlanırken alarm vermesini önleyen güvenilir bir çekirdek sürücüsü kullanıyor”.
Kötü amaçlı yazılım, meşru çekirdek sürücüsünü bıraktıktan sonra, sürücüyü sonraki işlemler için kaydetmek üzere Hizmet Denetimi’ni (sc.exe) kullanarak “aswArPot.sys” adlı bir hizmet oluşturur.
Sürücü yüklendikten ve çalışır hale getirildikten sonra, kötü amaçlı yazılım sisteme çekirdek düzeyinde erişim sağlayarak sistemi ele geçirmesine ve kritik güvenlik işlevlerini durdurmasına olanak tanır.
Çekirdek düzeyinde, aswArPot.sys sürücüsü esas olarak kötü amaçlı yazılıma işletim sisteminin en kritik bölümlerine sınırsız erişim sağlar.
Popüler antivirüs ve EDR programlarının işlem adları ilk olarak kötü amaçlı yazılım tarafından tanımlanan bir dizi değişkende depolanır.
Kötü amaçlı yazılımda bulunan 142 sabit kodlu güvenlik süreci adının listesi aşağıdaki gibidir:
Kötü amaçlı yazılım, sistemde çalışan her işlemin işlem ayrıntılarını aldıktan sonra, her işlem adını, ilk önce sabit kodlanan işlem adları listesiyle eşleştirir.
Kötü amaçlı yazılım, işlem adı eşleşirse yüklü Avast sürücüsüne atıfta bulunmak için bir tanıtıcı oluşturur. Kötü amaçlı yazılım, Avast sürücüsüne tanıtıcı oluşturduktan sonra işlem kimliğini ve ‘0x9988c094’ IOCTL kodunu ileterek DeviceIoControl API’sini çağırır.
Avast sürücüsü, çekirdek modu sürücülerinin kullanıcı modu işlemlerini geçersiz kılma yeteneğine sahip olması nedeniyle, işlemleri çekirdek düzeyinde sonlandırarak antivirüs ve EDR programlarının çoğunluğunun kurcalamaya karşı koruma özelliklerini kolayca atlayabilir.
Öneriler
BYOVD (Kendi Duyarlı Sürücünüzü Getirin) güvenlik tekniklerini kullanmak, sistemleri Avast Anti-Rootkit sürücüsü gibi duyarlı sürücülerden yararlanan saldırılara karşı korumanın çok önemli bir yoludur.
BYOVD saldırıları, yasal ancak savunmasız sürücülerden yararlanarak çekirdek düzeyinde erişim elde eder. Bu, kötü amaçlı yazılımın güvenlik yazılımını atlamasına ve önemli süreçleri durdurmasına olanak tanır.
Kuruluşlar, bu sürücüleri engelleyerek kötü amaçlı yazılımların kalıcılık oluşturmasını, ayrıcalıkları yükseltmesini veya güvenlik özelliklerini kapatmasını engelleyebilir.
Bu kural, bir uç nokta algılama ve yanıt (EDR) veya antivirüs programına entegre edildiğinde, güvenlik açıklarına sahip yasal sürücülerin bile başarıyla durdurulmasını sağlayarak karmaşık sürücü tabanlı saldırılara karşı hayati bir savunma katmanı ekler.
Analyze cyber threats with ANYRUN's powerful sandbox. Black Friday Deals : Get up to 3 Free Licenses.