最新のマルウェア攻撃が、正当化された古いAvastのアンチルートキットドライバーを悪用し、ターゲットシステムのセキュリティコンポーネントを無効化することによって、検出を回避し、制御を奪取しています。このマルウェアは特定のファミリーに属さないAVキラーのバリアントで、142件の異なるベンダーのセキュリティプロセスの名前がハードコードされています。
ドライバーはカーネルレベルで動作できるため、オペレーティングシステムの重要な部分にアクセスでき、マルウェアはプロセスを終了させることが可能です。サイバーセキュリティ企業Trellixの研究者が最近発見した攻撃では、古いアンチルートキットドライバーの脆弱性を利用した「Bring Your Own Vulnerable Driver(BYOVD)」手法が利用されています。具体的には、kill-floor.exeというファイル名のマルウェアがntfs.binという脆弱なドライバーをWindowsのデフォルトユーザーフォルダーにドロップしていました。
その後、マルウェアはService Control(sc.exe)を使用して‘aswArPot.sys’というサービスを作成し、ドライバーを登録します。続いて、142件のセキュリティツールに関連するプロセスのリストを使用して、システム上のアクティブなプロセスのスナップショットをチェックします。Trellixの研究者トリシャーン・カルラ氏によると、一致が見つかると、「マルウェアはインストールされたAvastドライバーを参照するためのハンドルを作成します」とのことです。
次に、‘DeviceIoControl’ APIを利用して、必要なIOCTLコマンドを発行し、プロセスを終了させます。上記のスクリーンショットに示されているように、このマルウェアはMcAfee、Symantec(Broadcom)、Sophos、Avast、Trend Micro、Microsoft Defender、SentinelOne、ESET、BlackBerryなど、さまざまなセキュリティソリューションからのプロセスを標的にしています。セキュリティが無効化された状態で、マルウェアはユーザーに通知することなく悪質な活動を行うことができます。
このドライバーとその手法は、2022年初めにTrend Microの研究者によって、AvosLockerランサムウェア攻撃の調査中に観察されました。2021年12月に、Stroz Friedbergのインシデントレスポンスサービスチームは、キューバランサムウェアがAvastのアンチルートキットカーネルドライバーの機能を悪用して、被害者のシステム上のセキュリティソリューションを無効化するスクリプトを利用していることを発見しました。また、同時期にSentinelLabsの研究者は、2016年から存在していた高危険度の脆弱性(CVE-2022-26522およびCVE-2022-26523)を発見し、これらを悪用することでセキュリティ製品の無効化を可能にしていました。これら2つの問題は2021年12月にAvastに報告され、同社はセキュリティアップデートによって静かに対処しました。
脆弱なドライバーに依存する攻撃から保護するためには、Trellixが推奨するように、シグネチャやハッシュに基づいてコンポーネントを特定してブロックできるルールを使用することが可能です。マイクロソフトもまた、主要なWindowsリリースごとに更新される脆弱なドライバーブロックリストポリシーファイルなどの解決策を提供しています。Windows 11 2022以降、すべてのデバイスでこのリストがデフォルトでアクティブになっています。
