11 月 26 日消息，安全公司 Trellix 發(fā)文，稱有黑客借用 Avast 殺軟內(nèi)置的組件作為跳板，以此終止受害者設(shè)備中防火墻、EDR 端點(diǎn)安全防護(hù)進(jìn)程，從而控制受害者設(shè)備。

據(jù)介紹，相關(guān)黑客使用名為 kill-floor.exe 的惡意程序，首先在受害者計(jì)算機(jī)上部署 Avast 殺軟的 Anti-Rootkit 驅(qū)動程序組件 aswArPot.sys，然后投放另一個(gè)合法的內(nèi)核驅(qū)動程序，命名為 ntfs.bin。

在完成驅(qū)動程序部署后，惡意軟件利用系統(tǒng)工具 sc.exe 創(chuàng)建名為 aswArPot.sys 的服務(wù)，將 ntfs.bin 注冊到系統(tǒng)中。隨后 kill-floor.exe 便會掃描受害者計(jì)算機(jī)上的進(jìn)程列表，通過調(diào)用 DeviceIoControl API 并發(fā)送特定的 IOCTL 代碼終止受害者設(shè)備防火墻、EDR 端點(diǎn)安全防護(hù)進(jìn)程。

安全公司表示，黑客這種攻擊手法主要借用了合法的安全軟件組件，因此能夠繞過傳統(tǒng)的安全防護(hù)措施，給安全防護(hù)帶來了新的挑戰(zhàn)。