Peneliti keamanan siber telah mengungkap kampanye jahat baru yang memanfaatkan teknik yang disebut Bring Your Own Vulnerable Driver (BYOVD) untuk melucuti perlindungan keamanan dan pada akhirnya mendapatkan akses ke sistem yang terinfeksi.
“Malware ini mengambil jalur yang lebih jahat: menjatuhkan driver Avast Anti-Rootkit yang sah (aswArPot.sys) dan memanipulasinya untuk melaksanakan agenda destruktifnya,” kata peneliti keamanan Trellix Trishaan Kalra dalam analisis yang diterbitkan pekan lalu.
“Malware tersebut mengeksploitasi akses mendalam yang diberikan oleh pengemudi untuk menghentikan proses keamanan, menonaktifkan perangkat lunak pelindung, dan mengambil alih kendali sistem yang terinfeksi.”
Titik awal serangan adalah file yang dapat dieksekusi (kill-floor.exe) yang menghapus driver Avast Anti-Rootkit yang sah, yang kemudian didaftarkan sebagai layanan menggunakan Service Control (sc.exe) untuk melakukan tindakan jahatnya.
Setelah driver aktif dan berjalan, malware mendapatkan akses tingkat kernel ke sistem, memungkinkannya menghentikan total 142 proses, termasuk yang terkait dengan perangkat lunak keamanan, yang dapat menimbulkan alarm.
Hal ini dilakukan dengan mengambil snapshot dari proses yang sedang berjalan secara aktif pada sistem dan memeriksa nama proses tersebut dengan daftar proses yang akan dihentikan.
“Karena driver mode kernel dapat mengesampingkan proses mode pengguna, driver Avast mampu menghentikan proses di tingkat kernel, dengan mudah melewati mekanisme perlindungan gangguan pada sebagian besar solusi antivirus dan EDR,” kata Kalra.
Vektor akses awal yang tepat yang digunakan untuk menghapus malware saat ini masih belum jelas. Juga tidak diketahui seberapa luas serangan-serangan ini dan siapa sasarannya.
Meskipun demikian, serangan BYOVD telah menjadi metode yang semakin umum digunakan oleh pelaku ancaman untuk menyebarkan ransomware dalam beberapa tahun terakhir, karena mereka menggunakan kembali driver yang telah ditandatangani namun memiliki kelemahan untuk melewati kontrol keamanan.
Awal bulan Mei ini, Elastic Security Labs mengungkapkan rincian kampanye malware GHOSTENGINE yang memanfaatkan driver Avast untuk mematikan proses keamanan.