Nov 25, 2024Ravie LakshmananMalware / Windows Security Cybersecurity watafiti wamegundua kampeni mpya hasidi ambayo hutumia mbinu inayoitwa Bring Your Own Vulnerable Driver (BYOVD) ili kupokonya ulinzi wa usalama na hatimaye kupata ufikiaji wa mfumo ulioambukizwa. “Programu hii hasidi inachukua njia mbaya zaidi: inashusha dereva halali wa Avast Anti-Rootkit (aswArPot.sys) na kuidanganya kutekeleza ajenda yake ya uharibifu,” mtafiti wa usalama wa Trellix Trishaan Kalra alisema katika uchanganuzi uliochapishwa wiki iliyopita. “Programu hasidi hutumia ufikiaji wa kina unaotolewa na dereva ili kukomesha michakato ya usalama, kuzima programu za kinga, na kukamata udhibiti wa mfumo ulioambukizwa.” Mahali pa kuanzia shambulio hilo ni faili inayoweza kutekelezwa (kill-floor.exe) ambayo huangusha dereva halali wa Avast Anti-Rootkit, ambayo baadaye husajiliwa kama huduma inayotumia Udhibiti wa Huduma (sc.exe) kutekeleza vitendo vyake vibaya. Pindi tu kiendeshi kinapoanza kufanya kazi, programu hasidi hupata ufikiaji wa kiwango cha kernel kwa mfumo, na kuuruhusu kusimamisha jumla ya michakato 142, ikijumuisha inayohusiana na programu ya usalama, ambayo inaweza kuamsha kengele. Hili linakamilishwa kwa kuchukua vijipicha vya michakato inayoendeshwa kikamilifu kwenye mfumo na kuangalia majina yao dhidi ya orodha ya michakato yenye msimbo ngumu ya kuua. “Kwa kuwa viendeshi vya modi ya kernel vinaweza kupindua michakato ya hali ya mtumiaji, kiendeshi cha Avast kinaweza kusitisha michakato katika kiwango cha kernel, kwa urahisi kupita mifumo ya ulinzi wa tamper ya suluhu nyingi za antivirus na EDR,” Kalra alisema. Vekta halisi ya ufikiaji iliyotumiwa kuangusha programu hasidi haiko wazi kwa sasa. Haijulikani pia jinsi mashambulizi haya yameenea na walengwa ni nani. Hiyo ilisema, mashambulio ya BYOVD yamekuwa njia ya kawaida inayotumiwa na watendaji vitisho kupeleka programu ya kukomboa katika miaka ya hivi karibuni, kwani wanatumia tena madereva yaliyotiwa saini lakini yenye dosari kupita udhibiti wa usalama. Mapema mwezi huu wa Mei, Maabara ya Usalama ya Elastic ilifichua maelezo ya kampeni ya programu hasidi ya GHOSTENGINE ambayo ilichukua fursa ya kiendeshi cha Avast kuzima michakato ya usalama. Umepata makala hii ya kuvutia? Tufuate kwenye Twitter na LinkedIn ili kusoma maudhui ya kipekee tunayochapisha.
Leave a Reply