Оваа техника дозволува напаѓачите да ја оневозможат антивирусната заштита и да добијат пристап до критичните делови на системот.

Што претставува нападот?

Злонамерниот софтвер користи стар, легитимен драјвер на Avast Anti-Rootkit (asvArPot.sys), кој се манипулира за да изврши деструктивни задачи. Нападот се поврзува со малициозен софтвер варијанта на AV Killer, кој има листа од 142 процеси на безбедносни алатки што се идентификуваат и оневозможуваат.

Како функционира нападот?

1. Иницијална фаза: Нападот започнува со датотека (kill-floor.exe), која фрла ранлив драјвер (ntfs.bin) во корисничката папка на Windows.

2. Регистрација: Софтверот ја создава услугата aswArPot.sys користејќи sc.exe и го регистрира ранливиот драјвер.

3. Манипулација на процесите: Благодарение на пристапот на ниво на јадро, драјверот може да ги прекине процесите поврзани со безбедносниот софтвер, заобиколувајќи ги заштитните механизми на антивирусни и EDR решенија.

Кој е погоден?

Злонамерниот софтвер ги нарушува процесите на познати безбедносни решенија како McAfee, Symantec, Sophos, Avast, Microsoft Defender, SentinelOne и други. Истражувачите напоменуваат дека начинот на иницијална инфекција и целите на нападите сè уште се нејасни.

Зошто се зголемуваат нападите на BYOVD?

Овие напади стануваат сè почести, особено меѓу групите за откуп. Причината е што ранливите драјвери даваат директен пристап до оперативниот систем, правејќи ги класичните безбедносни решенија немоќни.

Превенција и безбедност

• Редовно ажурирајте ги безбедносните алатки.

• Избегнувајте инсталирање на непознат софтвер.

• Следете препораки за ограничување на пристапот на драјверите со јадрен пристап.

BYOVD нападите претставуваат сериозна закана што бара иновативни стратегии за заштита.