駭客利用Avast驅動程式停用端點防護系統202412

根據近期資安廠商的調查指出,一種由 AV Killer 變種演化而來的惡意程式,會利用植入 Avast 舊版且具漏洞的合法驅動程式元件於受害電腦,藉以獲取系統最高權限,並停用多家不同廠牌的端點防護系統來達到攻擊目的;博通賽門鐵克已針對上述攻擊活動新增防護特徵,請各企業用戶保持各項定義檔更新以強化防護。

Symantec可攔阻特徵類型

檔案防護特徵 主動型威脅防護特徵 可攔阻版本
ACM.Ps-Sc!g1

ACM.Untrst-RunSys!g1

Heur.AdvML.A!300

Heur.AdvML.A!400

Heur.AdvML.A!500

Heur.AdvML.B

Heur.AdvML.B!100

Heur.AdvML.B!200

Trojan.Gen.MBT

WS.Malware.1

SONAR.SuspDriver!g10 檔案防護特徵碼:2024/11/27 rev.8

主動型威脅特徵碼:2024/11/27 rev.11

說明文件 Malware Hijacks Trusted AV Driver 

銳傑科技建議

針對此一攻擊手法,建議參考以下注意事項:

  1. 確認伺服器及端點電腦確實安裝端點防護系統並保持定義檔持續更新。
  2. 開啟端點防護自我防護功能並設定為攔截。
  3. 設定端點防護移除及停用密碼。
  4. 禁止用戶端設定例外政策。

參考網站

防毒軟體Avast的驅動程式元件遭到濫用,駭客企圖停用受害電腦防護機制

Malware Hijacks Trusted AV Driver