Cyberprzestępcy wykorzystują sterownik antywirusa do obejścia zabezpieczeń systemowych

Badacze cyberbezpieczeństwa wykryli nową kampanię ataków, w której przestępcy wykorzystują legalny sterownik antywirusowy do unikania zabezpieczeń systemowych. Malware o nazwie "kill-floor.exe" manipuluje sterownikiem aswArPot.sys, pochodzącym z oprogramowania zabezpieczającego, aby uzyskać dostęp na poziomie jądra systemu, omijając standardowe mechanizmy ochronne.

Jak działa atak?

Atak rozpoczyna się od umieszczenia w systemie pliku ntfs.bin, który zawiera zmodyfikowany sterownik antywirusowy. Następnie malware rejestruje go jako usługę systemową, co pozwala mu działać z uprawnieniami jądra.

Główne funkcje szkodliwego oprogramowania:

• Wyszukiwanie procesów związanych z oprogramowaniem zabezpieczającym,
• Komunikacja ze sterownikiem poprzez DeviceIoControl API, wykorzystując specjalny kod IOCTL (0x9988c094),
• Wymuszanie zakończenia procesów związanych z bezpieczeństwem systemu,
• Unikanie wykrycia przez narzędzia ochronne.

Po uruchomieniu malware wchodzi w nieskończoną pętlę, stale monitorując procesy systemowe. Jeśli wykryje działający program zabezpieczający, zleca sterownikowi aswArPot.sys jego zamknięcie, co skutecznie unieruchamia system ochrony.

Wykorzystanie uprawnień jądra

Sterownik antywirusowy, który w normalnych warunkach chroni system, w tym przypadku staje się narzędziem do niszczenia mechanizmów bezpieczeństwa. Dzięki dostępowi na poziomie jądra przestępcy mogą wykonywać kluczowe operacje, takie jak usuwanie procesów czy modyfikacja zabezpieczeń systemowych.

Jak się chronić?

Aby przeciwdziałać tego typu zagrożeniom, zaleca się wdrożenie środków ochrony przed atakami typu BYOVD (Bring Your Own Vulnerable Driver). Warto stosować:

• Monitorowanie sterowników – wykrywanie znanych podatnych sterowników przed ich uruchomieniem,
• Blokowanie podejrzanych sterowników na podstawie ich sygnatur i hashy,
• Rozszerzone reguły detekcji w narzędziach EDR i antywirusach.

Wskaźniki ataku (IoC):

• 40439f39f0195c9c7a3b519554afd17a (kill-floor.exe)
• a179c4093d05a3e1ee73f6ff07f994aa (ntfs.bin)

Nowe zagrożenia pokazują, jak legalne komponenty mogą zostać użyte do przełamania zabezpieczeń. Firmy powinny wdrażać zaawansowane mechanizmy wykrywania, aby skutecznie blokować takie ataki na wczesnym etapie.