恶意活动利用过时的驱动程序进行攻击

关键要点

• 一项新的恶意活动利用过时的 Avast 反根工具驱动程序进行攻击。
• 攻击者利用受信任的内核模式驱动程序来隐藏其恶意行为，从而避免引起警报。
• 这类恶意软件展示了黑客的创新能力，攻击者频繁利用公司未更新的工具来进行攻击。
• 不同领域的专家呼吁企业加强对过时驱动程序的监控和检测，实施全面的漏洞管理。

最近观察到一项恶意活动，利用合法但过时的
反根工具驱动程序，并对其进行操控，以终止安全进程、禁用保护软件并掌控被感染的系统。

在
中，研究人员表示，与其使用特制的驱动程序来执行恶意活动，该恶意软件选择了使用
，使其看起来更具合法性，从而在准备破坏系统防御时避免引发警报。

Trellix的研究人员指出，这项运动特别令人担忧，因为内核模式驱动程序具有高度的信任度——其设计目标是保护系统核心，而在此案例中，它们却被转化为执行恶意活动的工具。

BlueVoyant 的高级服务总监 T. Frank Downs表示，这类漏洞的利用展示了黑客无休止的创造力。他指出，恶意行为者经常利用那些未更新工具的公司，从而揭露自身的防御漏洞。

“安全团队可以检测到这些类型的攻击，但由于这类恶意软件的欺骗性质，检测起来可能很具挑战性，因为它利用了合法但
，” Downs
说。“这个驱动程序通常被系统信任，这使得检测更加困难。理想情况下，公司不应依赖这些过时组件，或者至少要认识到它们所带来的安全风险。”

Downs还表示，组织可以通过实施若干措施来加强安全防护，例如定期更新系统和软件，以及小心构建黑名单以防止过时驱动程序的安装。此外，实行全面的漏洞管理程序，主动识别、优先处理并解决漏洞，将大大提升防范此类事件的能力。

Sectigo 的高级研究员 Jason Soroko 指出，这项运动突显了需要加强检测策略，以监控和阻止过时或漏洞驱动程序的使用。Soroko表示，这种“自带漏洞驱动程序”（BYOVD）策略使恶意软件能够操控内核级权限，高效地终止安全进程、禁用保护软件并劫持系统。

“这类恶意软件的特点在于它使用了一个硬编码的 142 个主要厂商安全进程的名单，包括 Microsoft Defender、Symantec 和
Trend Micro，并有系统地禁用它们，” Soroko
说。“该攻击展示了重新利用操作系统信任组件的危险潜力，利用它们的内核级访问权限来覆盖篡改保护。”

Critical Start 的网络威胁情报研究分析师 Sarah Jones 补充说，名为“kill-
floor.exe”的恶意软件体现了网络安全中的一个关键漏洞：信任历史工具的漏洞利用。Jones表示，威胁行为者巧妙地将被弃用的系统组件武器化，将既定的安全基础设施转变为系统渗透的通道。这种做法反映出对组织盲点深刻的理解，即对供应商管理安全的假设导致了关键的、安全防御的漏洞。

“许多组织依赖于知名品牌的软件，相信漏洞只属于供应商的责任，” Jones
指出。“然而，随着软件的老化，供应商往往停止重要的更新，将维护的重担转移给最终用户。这种脱节为精明的威胁行为者创造了温床，他们会