En una nueva campaña maliciosa, los cibercriminales están utilizando un controlador legítimo pero obsoleto y vulnerable de Avast Anti-Rootkit para eludir la detección y tomar control del sistema objetivo al deshabilitar componentes de seguridad. Este método se basa en la técnica de traer su propio controlador vulnerable (BYOVD), un enfoque que explota controladores legítimos con fallas de seguridad conocidas.
¿Cómo opera este ataque?
El malware involucrado, un AV Killer sin afiliación clara a una familia específica, cuenta con una lista codificada de 142 nombres de procesos de seguridad pertenecientes a diversos proveedores. Este programa malicioso utiliza un archivo llamado kill-floor.exe para desplegar el controlador vulnerable bajo el nombre ntfs.bin en la carpeta predeterminada de usuario en Windows.
Posteriormente, crea un servicio llamado aswArPot.sys mediante el uso del comando Service Control (sc.exe) y registra el controlador en el sistema.
Una vez activo, el malware compara los procesos de seguridad detectados en el sistema contra su lista codificada, identificando y desactivando aquellos que coincidan. Utilizando la API DeviceIoControl, emite comandos IOCTL para finalizar los procesos.
Soluciones de seguridad en la mira
Entre las soluciones de seguridad afectadas se encuentran productos de reconocidas empresas como:
- McAfee
- Symantec (Broadcom)
- Sophos
- Avast
- Trend Micro
- Microsoft Defender
- SentinelOne
- ESET
- BlackBerry
La desactivación de estos procesos permite que el malware lleve a cabo actividades maliciosas sin ser detectado ni bloqueado.
Ataques anteriores con técnicas similares
El abuso del controlador de Avast no es nuevo. En ataques previos:
- En 2021, el ransomware Cuba utilizó un script que explotaba funciones del controlador anti-rootkit de Avast para desactivar defensas.
- En 2022, investigadores de Trend Micro observaron el mismo controlador en un ataque del ransomware AvosLocker.
- En el mismo año, SentinelLabs reportó dos vulnerabilidades críticas (CVE-2022-26522 y CVE-2022-26523) presentes desde 2016, que permitían escalar privilegios para deshabilitar productos de seguridad. Avast solucionó estos problemas con actualizaciones silenciosas a finales de 2021.
Recomendaciones para protegerse
Para mitigar riesgos asociados con controladores vulnerables, los expertos sugieren:
- Implementar reglas que identifiquen y bloqueen componentes basados en firmas o hashes.
- Utilizar la política de bloqueo de controladores vulnerables de Microsoft, disponible en Windows 11 2022 y versiones posteriores.
El uso de estas herramientas puede ser clave para prevenir que controladores vulnerables sean utilizados como arma por los cibercriminales.
Conclusión: Este caso destaca la importancia de mantener actualizados los controladores y de implementar controles estrictos para minimizar el impacto de las vulnerabilidades en los sistemas de seguridad. La colaboración entre equipos de seguridad y la adopción de tecnologías avanzadas de monitoreo son esenciales para prevenir este tipo de ataques.