Hackers abusano del driver anti-rootkit Avast per disabilitare le difese

Hackers abusano del driver anti-rootkit Avast per disabilitare le difese

Negli ultimi tempi, i cyberattacchi sono diventati sempre più sofisticati e pericolosi. Una delle strategie più utilizzate dai hacker per evitare la detezione e prendere il controllo dei sistemi informatici consiste nell’abusare di driver vulnerabili, come ad esempio il driver anti-rootkit Avast. In questo articolo, esploreremo come i hacker stanno utilizzando questo driver per disabilitare le difese dei sistemi e quali sono le misure di sicurezza che possono essere adottate per proteggersi da questi attacchi.

Come i hacker abusano del driver anti-rootkit Avast

Una recente campagna maliziosa è stata scoperta da ricercatori di Trellix, che ha utilizzato un driver anti-rootkit Avast vulnerabile per evitare la detezione e prendere il controllo dei sistemi target[1]. Il malware utilizzato in questa campagna è una variante di un “AV Killer” senza una famiglia specifica, che include una lista hardcoded di 142 nomi di processi di sicurezza provenienti da diversi fornitori.

Il processo di attacco è il seguente:

  1. Inizializzazione del Malware: Il malware, con il nome file kill-floor.exe, deposita il driver vulnerabile con il nome file ntfs.bin nella cartella utente predefinita di Windows.
  2. Creazione del Servizio: Il malware crea il servizio ‘aswArPot.sys’ utilizzando l’utility Service Control (sc.exe) e registra il driver.
  3. Identificazione dei Processi di Sicurezza: Il malware utilizza una lista hardcoded di 142 processi associati a strumenti di sicurezza e la confronta con snapshot multipli di processi attivi sul sistema.
  4. Terminazione del Driver Avast: Quando trova un match, il malware crea un handle per riferirsi all’installato driver Avast e utilizza l’API DeviceIoControl per emettere comandi IOCTL necessari per terminarlo.

Esempi di Attacchi Passati

Questo non è il primo caso in cui i driver vulnerabili sono stati abusati per disabilitare le difese dei sistemi. Esempi notevoli includono:

  • AvosLocker Ransomware: Nel dicembre 2021, il team di Incident Response Services di Stroz Friedberg ha scoperto che il ransomware Cuba utilizzava uno script che abusava di una funzione nel driver kernel di Avast per uccidere le soluzioni di sicurezza sulle vittime[1].
  • Flaw di Privilegi Elevati: Nel 2022, i ricercatori di SentinelLabs hanno scoperto due vulnerabilità di alto livello (CVE-2022-26522 e CVE-2022-26523) presenti dal 2016, che potevano essere sfruttate per “elevare i privilegi e disabilitare i prodotti di sicurezza”[1].

Misure di Sicurezza

Per proteggersi da questi attacchi, è importante adottare alcune misure di sicurezza:

  • Utilizzo di Regole di Blocco: Utilizzare regole che possano identificare e bloccare componenti basate sui loro firme o hash, come quelle raccomandate da Trellix[1].
  • Policies di Blocco Driver Vulnerabili: Microsoft offre una lista di blocchi driver vulnerabili che viene aggiornata con ogni rilascio principale di Windows. A partire da Windows 11 del 2022, questa lista è attiva di default su tutti i dispositivi[1].
  • App Control per Business: Utilizzare App Control per Business per ottenere la versione più recente della lista di blocchi driver vulnerabili[1].

Strumenti di Analisi e Rimozione

Per identificare e rimuovere eventuali rootkit presenti sul sistema, esistono diversi strumenti disponibili:

  • Malwarebytes Anti-Rootkit: Un programma gratuito che può essere utilizzato per cercare e rimuovere rootkit dal computer[3].
  • Vba32 AntiRootkit: Un avanzato scanner di rootkit da VirusBlockAda che cerca kernel-mode rootkit, autoruns sospetti e processi nascosti[3].
  • McAfee Labs Rootkit Remover: Un prodotto stand-alone gratuito che scandisce il computer per rootkit e tenta di rimuoverli, limitato a ZeroAccess e TDSS[3].
  • Panda Anti-Rootkit: Un scanner di rootkit gratuito da Panda Security che cerca e tenta di rimuovere rootkit[3].
  • Trend Micro RootkitBuster: Un programma che scandisce il computer per rootkit, inclusi quelli che utilizzano tecnologie avanzate come MBR (Master Boot Record) infezioni[3].
  • RootRepeal: Un scanner di rootkit che cerca driver kernel-mode, sia nascosti che file driver nascosti sul disco. Inoltre, cerca file nascosti, processi nascosti, SSDT hooks, servizi nascosti e oggetti stealth[3].
  • RootkitRevealer: Un scanner di rootkit da Microsoft Sysinternals che cerca rootkit in modalità utente o kernel e lista eventuali disuguaglianze API[3].
  • TDSSKiller: Un’utility creata da Kaspersky Labs progettata per rimuovere il rootkit TDSS, noto anche come Rootkit.Win32.TDSS, Tidserv, TDSServ e Alureon. TDSSKiller tenta anche di rimuovere altri rootkit come ZeroAccess se viene rilevato[3].
  • GMER: Un anti-rootkit scanner che cerca rootkit sul computer e consente di tentare la rimozione[3].
  • aswMBR: Un anti-rootkit scanner che cerca rootkit che infettano il Master Boot Record (MBR) del computer, inclusi TDL4/3, MBRoot (Sinowal) e Whistler. Per funzionare correttamente, deve scaricare le definizioni di virus Avast, quindi richiede una connessione Internet attiva prima di essere utilizzato[3].

L’abusare di driver vulnerabili, come il driver anti-rootkit Avast, rappresenta una minaccia significativa per la sicurezza dei sistemi informatici. È fondamentale adottare misure di sicurezza proattive, come l’uso di regole di blocco e politiche di blocchi driver vulnerabili, nonché l’utilizzo di strumenti di analisi e rimozione efficaci. In questo modo, è possibile ridurre il rischio di attacchi maliziosi e proteggere i sistemi da eventuali rootkit e malware.

Fonte: https://www.bleepingcomputer.com/news/security/hackers-abuse-avast-anti-rootkit-driver-to-disable-defenses

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto