IT之家 11 月 26 日消息,安全公司 Trellix 发文,称有黑客借用 Avast 杀软内置的组件作为跳板,以此终止受害者设备中防火墙、EDR 端点安全防护进程,从而控制受害者设备。
据介绍,相关黑客使用名为kill-floor.exe的恶意程序,首先在受害者计算机上部署 Avast 杀软的 Anti-Rootkit 驱动程序组件aswArPot.sys,然后投放另一个合法的内核驱动程序,命名为ntfs.bin。
在完成驱动程序部署后,恶意软件利用系统工具sc.exe创建名为aswArPot.sys的服务,将ntfs.bin注册到系统中。随后kill-floor.exe便会扫描受害者计算机上的进程列表,通过调用 DeviceIoControl API 并发送特定的 IOCTL 代码终止受害者设备防火墙、EDR 端点安全防护进程。
安全公司表示,黑客这种攻击手法主要借用了合法的安全软件组件,因此能够绕过传统的安全防护措施,给安全防护带来了新的挑战。
广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,IT之家所有文章均包含本声明。