Kjo teknikë i lejon sulmuesit të çaktivizojnë mbrojtjen antivirus dhe të kenë akses në pjesët kritike të sistemit.

Çfarë është një sulm?

Malware përdor një drejtues të vjetër, legjitim Avast Anti-Rootkit (asvArPot.sys), i cili manipulohet për të kryer detyra destruktive. Sulmi është i lidhur me një variant malware të AV Killer, i cili ka një listë me 142 procese të mjeteve të sigurisë që identifikohen dhe çaktivizohen.

Si funksionon sulmi?

1. Faza fillestare: Sulmi fillon me një skedar (kill-floor.exe), i cili lëshon një drejtues të cenueshëm (ntfs.bin) në dosjen e përdoruesit të Windows.

2. Regjistrimi: Softueri krijon shërbimin aswArPot.sys duke përdorur sc.exe dhe regjistron drejtuesin e cenueshëm.

3. Manipulimi i procesit: Falë aksesit në nivel kernel, drejtuesi mund të përfundojë proceset që lidhen me softuerin e sigurisë, duke anashkaluar mekanizmat e mbrojtjes së zgjidhjeve antivirus dhe EDR.

Kush ka të drejtë?

Malware ndërpret proceset e zgjidhjeve të njohura të sigurisë si McAfee, Symantec, Sophos, Avast, Microsoft Defender, SentinelOne dhe të tjerë. Studiuesit vërejnë se mënyra e infeksionit fillestar dhe objektivat e sulmeve janë ende të paqarta.

Pse sulmet BYOVD janë në rritje?

Këto sulme po bëhen më të zakonshme, veçanërisht në mesin e grupeve të ransomware. Arsyeja është se drejtuesit e cenueshëm japin akses të drejtpërdrejtë në sistemin operativ, duke i bërë zgjidhjet klasike të sigurisë të pafuqishme.

Parandalimi dhe siguria

• Përditësoni rregullisht mjetet e sigurisë.

• Shmangni instalimin e softuerit të panjohur.

• Ndiqni rekomandimet për kufizimin e aksesit në drejtuesit e aksesit në kernel.

Sulmet BYOVD përfaqësojnë një kërcënim serioz që kërkon strategji inovative të mbrojtjes.