安全软件组件反成黑客帮凶：研究公司曝光攻击者借用 Avast 杀软内置驱动发动攻击

IT之家 11 月 26 日报道称，安全厂商 Trellix 最新发文揭露，某些黑客正利用 Avast 杀毒软件内部组件作为跳板，然后利用此方法来停止受害者设备中的防火墙和EDR端点安全防护进程，从而实现对受害者设备的控制。

根据报道，这些黑客使用名为 kill-floor.exe 的恶意软件，首先在受害者计算机上部署 Avast 杀毒软件的反Rootkit驱动程序组件 aswArPot.sys，接着再引入一个合法的内核驱动程序，命名为 ntfs.bin。

在部署完驱动程序后，恶意软件利用系统工具 sc.exe 创建了一个名为 aswArPot.sys 的服务，并将 ntfs.bin 注册到系统中。之后，kill-floor.exe 会对受害者计算机上的进程列表进行扫描，利用 DeviceIoControl API 来发送特定的IOCTL代码，终止受害者设备上的防火墙和EDR端点安全防护进程。

安全公司指出，这种黑客攻击手法主要是利用了合法的安全软件组件，因而能够规避传统的安全防护措施，给安全防护带来了全新的挑战。

广告声明：文中可能包含外部链接，仅供参考。