Pesquisadores em cibersegurança identificaram uma sofisticada campanha maliciosa que utiliza a técnica Bring Your Own Vulnerable Driver (BYOVD) para contornar medidas de proteção e comprometer sistemas. Essa estratégia envolve o uso de drivers legítimos, mas vulneráveis, para desativar softwares de segurança e ganhar acesso irrestrito ao sistema.
Como funciona o ataque
O processo inicia com a execução de um arquivo chamado kill-floor.exe, que instala um driver legítimo do Avast Anti-Rootkit (aswArPot.sys). Esse driver é registrado como um serviço por meio do comando Service Control (sc.exe), mas ao invés de funcionar normalmente, ele é manipulado pelo malware para realizar atividades destrutivas.
Uma vez em operação, o malware usa o acesso ao kernel para identificar e encerrar processos críticos, incluindo aqueles relacionados à segurança. Ao todo, 142 processos podem ser desativados, eliminando qualquer resistência do sistema. A técnica se baseia na habilidade de drivers do kernel em sobrepor-se a processos do modo usuário, contornando facilmente mecanismos antivírus e ferramentas de detecção e resposta a endpoint (EDR).
Aumento de casos com a técnica BYOVD
Embora o vetor inicial do ataque permaneça desconhecido, os pesquisadores alertam para o aumento do uso da técnica BYOVD, especialmente em ataques de ransomware. Ao reutilizar drivers assinados, mas defeituosos, os agentes maliciosos conseguem explorar falhas legítimas sem levantar suspeitas.
Em maio, outra campanha intitulada GHOSTENGINE, revelada pelo Elastic Security Labs, também utilizou o driver do Avast para desativar sistemas de segurança. Esse padrão reforça a necessidade de um monitoramento constante e de práticas avançadas de segurança para evitar explorações futuras.
Proteção contra ameaças BYOVD
Para se proteger, é crucial manter sistemas e drivers atualizados, além de usar soluções de segurança que identifiquem comportamentos suspeitos mesmo em componentes legítimos. Adotar um monitoramento em tempo real e auditorias regulares pode ser a chave para evitar ataques similares.
