关注网络与数据安全

忘记密码
“游侠安全网”创建了网络安全从业者QQ大群(群号:389710688) ,欢迎各位同仁加入!有其它问题,请联系站长“网路游侠”,QQ:55984512


安全软件成黑客帮凶:攻击者借用Avast杀毒软件内置驱动发动攻击

2024-11-27 13:35 推荐: 浏览: 1字号:

摘要: IT之家 11 月 26 日消息,安全公司 Trellix 发文,称有黑客借用 Avast 杀软内置的组件作为跳板,以此终止受害者设备中防火墙、EDR 端点安全防护进程,从而控制受害者设备。 攻击者借用Avast杀毒软件内置驱动发动攻击 据介绍,相关黑客使用名...

IT之家 11 月 26 日消息,安全公司 Trellix 发文,称有黑客借用 Avast 杀软内置的组件作为跳板,以此终止受害者设备中防火墙、EDR 端点安全防护进程,从而控制受害者设备。

攻击者借用Avast杀毒软件内置驱动发动攻击

攻击者借用Avast杀毒软件内置驱动发动攻击

据介绍,相关黑客使用名为 kill-floor.exe 的恶意程序,首先在受害者计算机上部署 Avast 杀软的 Anti-Rootkit 驱动程序组件 aswArPot.sys,然后投放另一个合法的内核驱动程序,命名为 ntfs.bin。

在完成驱动程序部署后,恶意软件利用系统工具 sc.exe 创建名为 aswArPot.sys 的服务,将 ntfs.bin 注册到系统中。随后 kill-floor.exe 便会扫描受害者计算机上的进程列表,通过调用 DeviceIoControl API 并发送特定的 IOCTL 代码终止受害者设备防火墙、EDR 端点安全防护进程。

安全公司表示,黑客这种攻击手法主要借用了合法的安全软件组件,因此能够绕过传统的安全防护措施,给安全防护带来了新的挑战。

联系站长租广告位!

中国首席信息安全官
Copy link