Злоумышленники начали использовать уязвимый драйвер Avast Anti-Rootkit для обхода защиты систем. Вредоносное ПО, известное как модифицированный AV Killer, включает жёстко закодированный список из 142 процессов, связанных с антивирусными решениями. Используя драйвер на уровне ядра, вирус завершает процессы безопасности и получает полный контроль над системой.
Эксперты Trellix обнаружили, что атака реализована через технику BYOVD ("принеси свой уязвимый драйвер"). Вредоносная программа регистрирует драйвер как службу aswArPot.sys и использует API DeviceIoControl для завершения процессов защиты, включая антивирусы Microsoft Defender, Sophos, SentinelOne и другие. Отключив защиту, вирус остаётся незаметным и выполняет свои задачи.
Подобные атаки фиксировались и ранее. Вирусы-вымогатели AvosLocker и Cuba использовали этот же драйвер для отключения антивирусов. В 2021 году были выявлены уязвимости (CVE-2022-26522 и CVE-2022-26523), позволяющие повышать привилегии в системе. Avast выпустила обновление безопасности, но устаревшие версии драйвера остаются уязвимыми.
Эксперты рекомендуют использовать правила блокировки на основе сигнатур и хэшей уязвимых драйверов. Microsoft предлагает список уязвимых драйверов, который обновляется в Windows 11 и активен по умолчанию. Это помогает предотвращать использование устаревших компонентов в атаках.
