Недавнее открытие исследователей из Trellix в области кибербезопасности вызывает обеспокоенность среди специалистов и организаций. Обнаружена сложная кампания вредоносного ПО, которое использует легитимный драйвер антивируса для обхода систем защиты. Эта угроза, именуемая как «kill-floor.exe», применяет драйвер Avast Anti-Rootkit, чтобы получить неограниченные привилегии на уровне ядра.
Механизм работы вредоносного ПО
Ключевой особенностью этой кампании является регистрация драйвера как службы. Это позволяет вредоносному ПО завершать процессы критических систем безопасности и фактически нейтрализовать традиционные средства обеспечения безопасности. Благодаря такой архитектуре, вредоносное ПО может продолжать свою деятельность, оставаясь незамеченным для большинства защитных систем.
BYOVD (Bring Your Own Vulnerable Driver) - эта техника использовалась для внедрения опасного кода почти незаметно для существующих систем защиты. BYOVD позволяет зловредам использовать уязвимый драйвер для проникновения в систему и выполнения вредоносных команд.
Меры защиты и рекомендации
Эксперты настоятельно рекомендуют компаниям и пользователям предпринять дополнительные меры предосторожности для противодействия этим новым угрозам. Основными рекомендациями являются:
- обновление и тщательное тестирование систем антивирусной защиты;
- реализация и тестирование BYOVD механизмов защиты, способных распознавать и блокировать подозрительные активности;
- обучение сотрудников основам кибербезопасности для повышения осведомлённости об актуальных угрозах.
Компаниям также следует рассмотреть возможность использования решений, способных обнаруживать и блокировать активность подобных угроз на уровне системного ядра. Работающие в области безопасности организации должны оперативно реагировать на современные вызовы, улучшая программные и аппаратные средства защиты.