Классический форум-трекер
canvas not supported
Нас вместе: 4 245 406

Антивирус-предатель: драйвер Avast стал ключом к полному контролю системы


Страницы:  1, 2, 3  След. 
 
RSS
Начать новую тему   Ответить на тему    Торрент-трекер NNM-Club -> Компьютеры и комплектующие -> Компьютерные новости
Автор Сообщение
ElSwanko ®
Куратор Аниме
Модератор Музыки
Стаж: 18 лет 2 мес.
Сообщений: 21088
Ratio: 1289.083
Поблагодарили: 91446
100%
Откуда: ур-пространство преконтинуума
roody.gif
Специалисты Trellix обнаружили новую кампанию, в которой используются доверенные компоненты антивирусных программ для взлома систем. Вместо попыток обойти защиту злоумышленники применяют легальный драйвер Avast Anti-Rootkit, чтобы отключать защитное ПО и получать контроль над компьютером.



Механизм атаки выглядит так: вредоносная программа сначала загружает драйвер Avast в систему под видом обычного файла. Затем через специальную команду регистрирует его как сервис, дающий доступ к ядру операционной системы. Это позволяет программе завершать процессы антивирусов и других систем защиты, обходя их стандартные механизмы безопасности.

Вредоносное ПО, названное AV Killer, загружает доверенный драйвер и анализирует активные процессы на устройстве, сверяя их с жёстко заданным списком из 142 целей, куда входят антивирусные решения компаний McAfee, Symantec, Sophos, Microsoft Defender, SentinelOne и других. Если процесс совпадает с одним из целевого списка, вредоносное ПО использует API DeviceIoControl для передачи команд драйверу и завершения процесса. Уровень доступа драйвера позволяет вредоносной программе завершать процессы на уровне ядра ОС.

После отключения защиты вредоносное ПО получает полный контроль над системой, что позволяет хакерам похищать данные, устанавливать вредоносные программы или достигать другие свои цели.

Эксперты объясняют, что BYOVD-атаки (Bring Your Own Vulnerable Driver) становятся все более популярными. В таких атаках используются уязвимости легальных драйверов, чтобы проникать в системы. Например, похожую атаку проводили хакеры Lazarus, когда использовали уязвимость в драйвере Windows AppLocker для получения доступа на уровне ядра и отключения средств безопасности, избежав обнаружения.

Для защиты от подобных угроз Trellix рекомендует специальные правила, которые помогают блокировать использование уязвимых драйверов. Правила основаны на уникальных характеристиках драйверов и предотвращают их запуск даже при наличии уязвимостей. Внедрение таких правил в антивирусные и EDR-системы помогает заранее выявить угрозу и остановить атаку. Эксперты призывают компании обновлять защитное ПО и добавлять новые механизмы для борьбы с продвинутыми угрозами, чтобы минимизировать риски подобных атак.

Несмотря на рекомендации использования EDR-систем, интересно отметить, что в августе группировка RansomHub начала использовать новый вредоносный софт, который отключает EDR-решения на устройствах для обхода механизмов безопасности и получения полного контроля над системой.

© SecurityLab

_________________
Правила: Аниме, Манга, OST || Музыка
Помощь: Скриншоты || MediaInfo || auCDtect
Casper1313
Куратор Программ
Доброе привидение
Меценат
Стаж: 13 лет 9 мес.
Сообщений: 14553
Ratio: 196.347
Поблагодарили: 140786
100%
Откуда: Потусторонний мир
turkey.gif
Никогда такого не было, и вот опять! ©

_________________
Эффективное использование кнута существенно экономит пряники.
Ставить хорошие оценки пробовали? Попробуйте, может не все так плохо в этом мире? © NorthOn
zz13
Стаж: 12 лет 10 мес.
Сообщений: 2452
Ratio: 3.772
30.48%
еще один изначально заложенный бекдор спалили
ArkadyKiller
Стаж: 14 лет
Сообщений: 145
Ratio: 7.079
Поблагодарили: 19
0.79%
Откуда: Татарск
russia.gif
это тянется еще с 90-х годов, когда были куча антивирусов, каспер, ДрВеб Нортон и прочие, когда они конкурировали между собой на рынке, и эти конторы сами же писали вирусняк, чтобы показать какие они крутые, что находят вирус который не могли найти их конкуренты.
extream
Стаж: 13 лет 6 мес.
Сообщений: 43
Ratio: 4.771
0%
С самого создания это ПО, которые некоторые, почему-то, называют антивирусом, с вирусами прекрасно уживалось, и только иногда, делоло вид, что с ними борется. Кстати, есть вирусы, которые имитируют антивирусы, вот это Avast. Так, что ничего удивительного!
Комиссар Жюв
Стаж: 13 лет
Сообщений: 80
Ratio: 10.952
Поблагодарили: 545
7.97%
france.gif
ArkadyKiller писал(а): Перейти к сообщению
это тянется еще с 90-х годов, когда были куча антивирусов, каспер, ДрВеб Нортон и прочие, когда они конкурировали между собой на рынке, и эти конторы сами же писали вирусняк, чтобы показать какие они крутые, что находят вирус который не могли найти их конкуренты.
еще кто-то верит в этот бред?
Creature2
 
Стаж: 17 лет 1 мес.
Сообщений: 371
Ratio: 58.874
100%
russia.gif
:да: Ну, вот, наконец понял почему никогда не любил это изделие...
monterfgup
Только чтение

Online
Стаж: 11 лет 7 мес.
Сообщений: 215
Ratio: 15.674
Раздал: 4.872 TB
0%
Откуда: ШЛИССЕЛЬБУРГ
russia.gif
нифига не понял! так что,теперича Avast Premium Security лучше удалить? кто в этой теме шарит-подскажите!?
abozoff
Стаж: 14 лет 6 мес.
Сообщений: 262
Ratio: 9.08
Раздал: 26.55 TB
100%
albania.gif
monterfgup писал(а): Перейти к сообщению
нифига не понял! так что,теперича Avast Premium Security лучше удалить? кто в этой теме шарит-подскажите!?

не вижу смайлика "sarcasm" ) с 10 винды начиная, встроенный защитник перекрывал аваст как бык овцу. такшта да, лучше убрать.

_________________
все слетело. чистый винт - чистая совесть
totktonado74
Стаж: 10 лет 2 мес.
Сообщений: 115
Ratio: 33.967
0.05%
загружают и устанавливают на пк ломаный драйвер каким образом?
Комиссар Жюв
Стаж: 13 лет
Сообщений: 80
Ratio: 10.952
Поблагодарили: 545
7.97%
france.gif
abozoff писал(а): Перейти к сообщению

не вижу смайлика "sarcasm" ) с 10 винды начиная, встроенный защитник перекрывал аваст как бык овцу. такшта да, лучше убрать.
верят в дефендер до первого шифратора
Nevermore
Стаж: 17 лет 10 мес.
Сообщений: 1130
Ratio: 18.32
Поблагодарили: 94
0.85%
Откуда: UA
ukraine.gif
что за "драйвер аваст"?

_________________

BlackAxis
Стаж: 12 лет 3 мес.
Сообщений: 10
Ratio: 33.315
2.45%
monterfgup писал(а): Перейти к сообщению
нифига не понял! так что,теперича Avast Premium Security лучше удалить? кто в этой теме шарит-подскажите!?


Дело не совсем в самом Авасте. Он то работает. Если совсем на пальцах то есть программы которые могут использовать родные драйвера Аваста в своих целях: устанавливают через него в систему свои злобные бэкдоры. Если стоит Аваст с последними обновлениями, то вероятнее всего всё ок. А вот если какая-то левая программа настойчиво перед своей установкой пытается убедить установить старую копию Аваста (или другие из списка выше), то это огромный повод задуматься.

Добавлено спустя 4 минуты 3 секунды:

Nevermore писал(а): Перейти к сообщению
что за "драйвер аваст"?


Все антивирусы для взаимодействия с ядром системы используют драйвер. И так как это антивирусы, то у этих драйверов изначально очень высокие привилегии. Вот хакеры и научились в этих драйверах находить уязвимости и при помощи этих драйверов заражать ОС
«Хирург»
RG Soft
Стаж: 13 лет 10 мес.
Сообщений: 9772
Ratio: 409.974
Поблагодарили: 1105866
100%
Цитата:
куда входят антивирусные решения компаний McAfee, Symantec, Sophos, Microsoft Defender, SentinelOne и других
:лол: :лол: :лол:
beriaussr
Стаж: 14 лет 6 мес.
Сообщений: 785
Ratio: 1.794
Раздал: 186 GB
3.48%
Откуда: из России!
russia.gif
Nevermore писал(а): Перейти к сообщению
что за "драйвер аваст"?

Почти у всех антивирусов есть собственный низкоуровневый драйвер для прямого доступа к ресурсам... По сути да, и любой работает как вирус.
Показать сообщения:   
Начать новую тему   Ответить на тему    Торрент-трекер NNM-Club -> Компьютеры и комплектующие -> Компьютерные новости Часовой пояс: GMT + 3
Страницы:  1, 2, 3  След.
Страница 1 из 3