安全软件组件反成黑客帮凶：研究公司曝光攻击者借用 Avast 杀软内置驱动发动攻击

显示全部楼层 · 发表于 2024-11-26 20:31:35

本帖最后由 1094947421 于 2024-11-26 20:35 编辑

安全软件组件反成黑客帮凶：研究公司曝光攻击者借用 Avast 杀软内置驱动发动攻击
2024-11-26 20:18IT之家 - 漾仔
IT之家 11 月 26 日消息，安全公司 Trellix 发文，称有黑客借用 Avast 杀软内置的组件作为跳板，以此终止受害者设备中防火墙、EDR 端点安全防护进程，从而控制受害者设备。

据介绍，相关黑客使用名为 kill-floor.exe 的恶意程序，首先在受害者计算机上部署 Avast 杀软的 Anti-Rootkit 驱动程序组件 aswArPot.sys，然后投放另一个合法的内核驱动程序，命名为 ntfs.bin。

在完成驱动程序部署后，恶意软件利用系统工具 sc.exe 创建名为 aswArPot.sys 的服务，将 ntfs.bin 注册到系统中。随后 kill-floor.exe 便会扫描受害者计算机上的进程列表，通过调用 DeviceIoControl API 并发送特定的 IOCTL 代码终止受害者设备防火墙、EDR 端点安全防护进程。

安全公司表示，黑客这种攻击手法主要借用了合法的安全软件组件，因此能够绕过传统的安全防护措施，给安全防护带来了新的挑战。

广告声明：文内含有的对外跳转链接（包括不限于超链接、二维码、口令等形式），用于传递更多信息，节省甄选时间，结果仅供参考，IT之家所有文章均包含本声明。

责任编辑：漾仔
原帖https://m.ithome.com/html/813432.htm

显示全部楼层 · 发表于 2024-11-26 23:19:33

原来如此，怪不得我的Avast一直怪怪的，卡卡的。原来是被黑客控制了啊！感谢分享。

显示全部楼层 · 发表于 2024-11-26 23:28:30

提示: 该帖被管理员或版主屏蔽

显示全部楼层 · 发表于 2024-12-4 17:56:53

让我想到了当年驱动精灵能彻底禁用360的事情
我记得是调用的金山的什么驱动

chx818 头像被屏蔽	发表于 2024-11-26 23:28:30 \| 显示全部楼层提示: 该帖被管理员或版主屏蔽
chx818 头像被屏蔽
	回复举报

[转帖] 安全软件组件反成黑客帮凶：研究公司曝光攻击者借用 Avast 杀软内置驱动发动攻击

评分