418/67 (IT) ประจำวันจันทร์ที่ 25 พฤศจิกายน 2567
นักวิจัยด้านความปลอดภัยจาก Trellix ได้ค้นพบแคมเปญโจมตีที่อาศัยวิธี “นำไดรเวอร์ที่มีช่องโหว่มาใช้” (Bring-Your-Own-Vulnerable-Driver หรือ BYOVD) โดยอาศัยไดรเวอร์เก่าของ Avast Anti-Rootkit ที่มีช่องโหว่เพื่อหลีกเลี่ยงการตรวจจับและปิดการทำงานของระบบความปลอดภัย วิธีการโจมตีนักวิจัยอธิบายว่า มัลแวร์ที่ใช้ในการโจมตีนี้เป็นชนิด AV Killer ที่ไม่ได้เป็นส่วนหนึ่งของตระกูลมัลแวร์ใดโดยเฉพาะโดยมาพร้อมกับรายชื่อกระบวนการรักษาความปลอดภัย 142 ชื่อที่เข้ารหัสแบบฮาร์ดโค้ดจากผู้จำหน่ายต่างๆ มัลแวร์ดังกล่าวเริ่มต้นด้วยการใช้ไฟล์ชื่อ kill-floor.exe เพื่อวางไดรเวอร์ที่มีช่องโหว่ (ชื่อไฟล์ ntfs.bin) ลงในโฟลเดอร์ผู้ใช้บนระบบ Windows จากนั้น มัลแวร์จะสร้างบริการชื่อ aswArPot.sys ผ่าน Service Control (sc.exe) และลงทะเบียนไดรเวอร์ และมัลแวร์จะตรวจสอบกระบวนการที่กำลังทำงานในระบบ โดยเปรียบเทียบกับรายการที่กำหนดไว้ล่วงหน้า หากพบกระบวนการที่ตรงกัน มัลแวร์จะสร้าง “Handle” เพื่ออ้างอิงไดรเวอร์ของ Avast ที่ติดตั้งไว้ และใช้คำสั่ง IOCTL ผ่าน API DeviceIoControl เพื่อหยุดกระบวนการนั้น
มัลแวร์ในแคมเปญนี้สามารถปิดการทำงานของระบบป้องกันจากหลายผู้พัฒนา เช่น McAfee, Symantec, Sophos, Trend Micro, Microsoft Defender, SentinelOne, และ ESET เมื่อระบบป้องกันถูกปิด มัลแวร์สามารถดำเนินกิจกรรมที่เป็นอันตรายได้โดยไม่ถูกตรวจจับ โดยแคมเปญนี้คล้ายในอดีต ซึ่งเทคนิค BYOVD นี้เคยถูกใช้ในกรณีของ AvosLocker ransomware ในปี 2022 และ Cuba ransomware ในปี 2021 ซึ่งอาศัยไดรเวอร์ Anti-Rootkit ของ Avast ในการปิดระบบความปลอดภัย โดย SentinelLabs ยังพบช่องโหว่ร้ายแรงในไดรเวอร์ดังกล่าว (CVE-2022-26522 และ CVE-2022-26523) ที่มีมาตั้งแต่ปี 2016 แม้ Avast จะแก้ไขช่องโหว่เหล่านี้ในปี 2021 ไปแล้ว แต่การโจมตีที่ใช้ไดรเวอร์ที่มีช่องโหว่ ยังคงเป็นภัยคุกคามที่สำคัญ