Una campagna malevola sta sfruttando un driver legittimo anti-rootkit di Avast per eseguire azioni dannose sui sistemi infetti: identificato come “kill-floor.exe” dal Trellix Advanced Research Center, questo malware utilizza l’accesso a livello kernel fornito dal driver per terminare i processi di sicurezza, disabilitare il software di protezione e prendere il controllo del sistema.
Questo consente al malware stesso di operare senza essere rilevato dai tradizionali software antivirus.
“Invece di aggirare le difese, questo malware adotta una strada più sinistra: rilascia un driver Avast Anti-Rootkit legittimo (aswArPot.sys) e lo manipola per portare a termine il suo programma distruttivo”, spiegano i ricercatori di Trellix, specificando che “ciò che rende tutto ancora più allarmante è il livello di fiducia associato ai driver in modalità kernel, progettati per proteggere il sistema nel suo nucleo, che, in questo caso, vengono trasformati in strumenti di distruzione”.
Fonte: Trellix.
Indice degli argomenti
Kill-floor, come funziona l’algoritmo malevolo
L’algoritmo di Kill-floor è implementato in modo da definire diverse variabili con i nomi di processi di soluzioni antivirus noti, rilasciare il driver Avast Anti-Rootkit nella directory “C:\Users\Default\AppData\Local\Microsoft\Windows” con il nome “ntfs.bin” e installarlo come servizio “aswArPot.sys” utilizzando l’utilità da riga di comando “sc.exe”.
Fonte: Trellix.
Successivamente, entrando in un ciclo infinito, l’implementazione prevede il recupero delle informazioni di tutti i processi presenti sul sistema colpito, confrontandoli con un elenco di 142 nomi di processi di sicurezza codificati.
Fonte: Trellix.
Se trova corrispondenze, l’algoritmo prosegue creando un handle per fare riferimento al driver Avast installato e richiama l’API DeviceIoControl con il codice IOCTL ‘0x9988c094’ e l’ID del processo.
“Poiché i driver in modalità kernel possono sovrascrivere i processi in modalità utente, il driver Avast è in grado di terminare i processi a livello kernel, aggirando senza sforzo i meccanismi di protezione antimanomissione della maggior parte delle soluzioni antivirus ed EDR”, continua il rapporto pubblicato da Trellix.
Fonte: Trellix.
In pratica, il driver Anti-Rootkit di Avast interpreta il codice “0x9988c094” passato al trigger IOCTL (Device Input and Output Control) come un comando che termina i processi di sicurezza individuato.
La decompiliazione del driver Avast in oggetto fatta da Trellix durante la sua analisi ha inoltre mostrato che la funzione legittima (“FUN_14001dc80”) sfruttata dal malware per la terminazione utilizza le funzioni standard del kernel di Windows (KeStackAttachProcess e ZwTerminateProcess).
Ciò spaccia ulteriormente le attività come normali operazioni di sistema.
Fonte: Trellix.
Raccomandazioni di sicurezza
La scoperta di Trellix sottolinea l’importanza di una vigilanza continua e di misure di sicurezza proattive per proteggere i sistemi informatici dalle minacce emergenti come quella del malware kill-floor.exe che rende il sistema vulnerabile ad ulteriori attacchi e compromissioni.
Per prevenire tali attacchi basati sui driver, Trellix consiglia l’uso di meccanismi di protezione di tipo BYOVD (Bring Your Own Vulnerable Driver) che possono identificare e bloccare driver vulnerabili specifici in base ai loro hash univoci.
Trellix ha anche fornito una specifica regola BYOVD per rilevare e bloccare l’abuso del driver in oggetto (aswArPot.sys).
Una volta implementata questa expert rule nella proprie soluzioni di sicurezza, le organizzazioni possono impedire al malware di sfruttare il driver legittimo per elevare privilegi e disabilitare le misure di protezione.
