根據近期資安廠商的調查指出,一種由 AV Killer 變種演化而來的惡意程式,會利用植入 Avast 舊版且具漏洞的合法驅動程式元件於受害電腦,藉以獲取系統最高權限,並停用多家不同廠牌的端點防護系統來達到攻擊目的;博通賽門鐵克已針對上述攻擊活動新增防護特徵,請各企業用戶保持各項定義檔更新以強化防護。
Symantec可攔阻特徵類型
檔案防護特徵 | 主動型威脅防護特徵 | 可攔阻版本 |
ACM.Ps-Sc!g1
ACM.Untrst-RunSys!g1 Heur.AdvML.A!300 Heur.AdvML.A!400 Heur.AdvML.A!500 Heur.AdvML.B Heur.AdvML.B!100 Heur.AdvML.B!200 Trojan.Gen.MBT WS.Malware.1 |
SONAR.SuspDriver!g10 | 檔案防護特徵碼:2024/11/27 rev.8
主動型威脅特徵碼:2024/11/27 rev.11 |
說明文件 | Malware Hijacks Trusted AV Driver |
銳傑科技建議
針對此一攻擊手法,建議參考以下注意事項:
- 確認伺服器及端點電腦確實安裝端點防護系統並保持定義檔持續更新。
- 開啟端點防護自我防護功能並設定為攔截。
- 設定端點防護移除及停用密碼。
- 禁止用戶端設定例外政策。
參考網站