Malware sofisticado usa drivers vulneráveis para escapar de antivírus

Imagem do autor do SempreUpdate Jardeson Márcio
Escrito por
Jardeson Márcio
Jardeson é Jornalista, Mestre em Tecnologia Agroalimentar e Licenciado em Ciências Agrária pela Universidade Federal da Paraíba. Entusiasta no mundo tecnológico, gosta de arquitetura e design...

Pesquisadores em cibersegurança identificaram uma sofisticada campanha maliciosa que utiliza a técnica Bring Your Own Vulnerable Driver (BYOVD) para contornar medidas de proteção e comprometer sistemas. Essa estratégia envolve o uso de drivers legítimos, mas vulneráveis, para desativar softwares de segurança e ganhar acesso irrestrito ao sistema.

Como funciona o ataque

O processo inicia com a execução de um arquivo chamado kill-floor.exe, que instala um driver legítimo do Avast Anti-Rootkit (aswArPot.sys). Esse driver é registrado como um serviço por meio do comando Service Control (sc.exe), mas ao invés de funcionar normalmente, ele é manipulado pelo malware para realizar atividades destrutivas.

Uma vez em operação, o malware usa o acesso ao kernel para identificar e encerrar processos críticos, incluindo aqueles relacionados à segurança. Ao todo, 142 processos podem ser desativados, eliminando qualquer resistência do sistema. A técnica se baseia na habilidade de drivers do kernel em sobrepor-se a processos do modo usuário, contornando facilmente mecanismos antivírus e ferramentas de detecção e resposta a endpoint (EDR).

Nomes de processos de segurança
Imagem: The Hacker News

Aumento de casos com a técnica BYOVD

Embora o vetor inicial do ataque permaneça desconhecido, os pesquisadores alertam para o aumento do uso da técnica BYOVD, especialmente em ataques de ransomware. Ao reutilizar drivers assinados, mas defeituosos, os agentes maliciosos conseguem explorar falhas legítimas sem levantar suspeitas.

Em maio, outra campanha intitulada GHOSTENGINE, revelada pelo Elastic Security Labs, também utilizou o driver do Avast para desativar sistemas de segurança. Esse padrão reforça a necessidade de um monitoramento constante e de práticas avançadas de segurança para evitar explorações futuras.

Proteção contra ameaças BYOVD

Para se proteger, é crucial manter sistemas e drivers atualizados, além de usar soluções de segurança que identifiquem comportamentos suspeitos mesmo em componentes legítimos. Adotar um monitoramento em tempo real e auditorias regulares pode ser a chave para evitar ataques similares.

Compartilhe este artigo