Une nouvelle campagne malveillante utilise un pilote Anti-Rootkit Avast légitime mais ancien et vulnérable pour échapper à la détection et prendre le contrôle du système cible en désactivant les composants de sécurité.
Le malware qui supprime le pilote est une variante d’un tueur AV sans famille particulière. Il est livré avec une liste codée en dur de 142 noms pour les processus de sécurité de divers fournisseurs.
Étant donné que le pilote peut fonctionner au niveau du noyau, il donne accès aux parties critiques du système d’exploitation et permet au logiciel malveillant de mettre fin aux processus.
Les chercheurs en sécurité de la société de cybersécurité Trellix ont récemment découvert une nouvelle attaque qui exploite l’approche BYOVD (apportez votre propre pilote vulnérable) avec une ancienne version du pilote anti-rootkit pour arrêter les produits de sécurité sur un système ciblé.
Ils expliquent qu’un morceau de malware avec le nom de fichier kill-floor.exe supprime le pilote vulnérable avec le nom de fichier ntfs.bin dans le dossier utilisateur Windows par défaut. Ensuite, le logiciel malveillant crée le service ‘aswArPot.sys ‘ utilisant le contrôle de service (sc.exe) et enregistre le pilote.
Le logiciel malveillant utilise ensuite une liste codée en dur de 142 processus associés aux outils de sécurité et la compare à plusieurs instantanés de processus actifs sur le système.
Trisha Kalra, chercheuse sur Trellix, explique que lorsqu’il trouve une correspondance, « le logiciel malveillant crée un descripteur pour référencer le pilote Avast installé. »
Il exploite ensuite l’API ‘DeviceIoControl’ pour émettre les commandes IOCTL requises pour y mettre fin.
Comme le montre la capture d’écran ci-dessus, le malware cible les processus de diverses solutions de sécurité, notamment celles de McAfee, Symantec (Broadcom), Sophos, Avast, Trend Micro, Microsoft Defender, SentinelOne, ESET et BlackBerry.
Lorsque les défenses sont désactivées, le logiciel malveillant peut effectuer des activités malveillantes sans déclencher d’alertes à l’utilisateur ni être bloqué.
Il convient de noter que le pilote et des procédures similaires ont été observés début 2022 par des chercheurs de Trend Micro lors d’une enquête sur une attaque de ransomware AvosLocker.
En décembre 2021, l’équipe des Services de réponse aux incidents de Stroz Friedberg a découvert que le ransomware Cuba utilisait dans les attaques un script qui abusait d’une fonction du pilote du noyau Anti-Rootkit d’Avast pour tuer les solutions de sécurité sur les systèmes de la victime.
À peu près au même moment, des chercheurs de SentinelLabs ont découvert deux failles de grande gravité (CVE-2022-26522 et CVE-2022-26523) présentes depuis 2016, qui pourraient être exploitées « pour augmenter les privilèges leur permettant de désactiver les produits de sécurité. »
Les deux problèmes ont été signalés à Avast en décembre 2021 et l’entreprise les a résolus silencieusement avec des mises à jour de sécurité.
La protection contre les attaques qui reposent sur des pilotes vulnérables est possible en utilisant des règles qui peuvent identifier et bloquer les composants en fonction de leurs signatures ou hachages, comme celle recommandée par Trellix.
Microsoft propose également des solutions, telles que le fichier de stratégie de liste de blocage des pilotes vulnérables, qui est mis à jour avec chaque version majeure de Windows. À partir de Windows 11 2022, la liste est active par défaut sur tous les appareils. La dernière version de la liste est possible via App Control for Business.