Хакери використовують старий драйвер Avast для поширення Windows-шкідливого ПЗ

За даними компанії Trellix, хакери виявили спосіб використовувати старий драйвер Avast Anti-Rootkit для поширення шкідливих програм. Цей метод дозволяє шкідливому ПЗ отримати права доступу до ядра операційної системи Windows, що дозволяє обходити захисні механізми і встановлювати повний контроль над комп’ютером.

• Механізм атаки:
  1. Шкідливе ПЗ встановлює копію драйвера Avast Anti-Rootkit.
  2. Драйвер надає програмі доступ до системного ядра.
  3. Шкідливе ПЗ відключає критично важливі системи безпеки Windows.
  4. Зловмисники отримують доступ до даних, можуть блокувати файли або керувати системою.

Що робить атаки на рівні ядра небезпечними?

Програми, що працюють на рівні ядра (kernel-level), мають найглибший доступ до операційної системи. Це означає, що вони можуть:

• Відключати антивіруси та засоби захисту.
• Поширювати інші шкідливі програми.
• Завдавати шкоди на апаратному рівні або пошкоджувати системні файли.

Ознаки зараження

Якщо ваш комп’ютер раптово поводиться дивно, з’являються незрозумілі файли або процеси, це може свідчити про зараження. Особливо зверніть увагу на:

• kill-floor.exe у списку запущених процесів.
• ntfs.bin у папці C:\Users\Default\AppData\Local\Microsoft\Windows.

Як захистити свій ПК?

1. Оновлення системи: Завжди оновлюйте Windows і встановлені програми, щоб закривати відомі вразливості.
2. Перевірка джерел: Завантажуйте файли тільки з перевірених джерел і уникайте невідомих посилань.
3. Малвар-захист: Використовуйте антивіруси з функцією реального захисту, які можуть блокувати шкідливе ПЗ на ранніх етапах.
4. BYOVD-правила: Якщо ви технічно підковані, застосуйте правило “Bring Your Own Vulnerable Driver” для захисту від атак із використанням вразливих драйверів.
5. Моніторинг процесів: Слідкуйте за підозрілими процесами або програмами, які раніше не запускалися.

Що робити, якщо підозрюєте зараження?

1. Відключіть комп’ютер від інтернету, щоб запобігти передачі даних.
2. Використовуйте антивірус для перевірки системи на наявність шкідливого ПЗ.
3. Видаліть підозрілі файли та програми.
4. Якщо проблему не вдається вирішити, зверніться до фахівців із кібербезпеки.

Атаки із використанням легітимних драйверів, таких як старий Avast Anti-Rootkit, демонструють, наскільки творчо та небезпечно працюють хакери. Регулярне оновлення системи, обережність із завантаженнями та використання надійного антивіруса можуть допомогти уникнути зараження.