近期,一起針對(duì)個(gè)人電腦的復(fù)雜黑客攻擊事件被安全專家揭露。此次攻擊中,黑客巧妙地利用了知名安全軟件Avast殺毒軟件中的Anti-Rootkit組件aswArPot.sys,將其作為入侵的跳板,成功繞過了受害者設(shè)備的多重安全防線。
黑客首先通過某種方式在受害者的計(jì)算機(jī)上部署了aswArPot.sys組件,隨后又引入了一個(gè)名為ntfs.bin的合法內(nèi)核驅(qū)動(dòng)程序。這一連串的操作,為后續(xù)的攻擊行動(dòng)鋪平了道路。
緊接著,黑客利用系統(tǒng)自帶的sc.exe工具,創(chuàng)建了一個(gè)與aswArPot.sys同名的服務(wù),并將ntfs.bin驅(qū)動(dòng)程序注冊(cè)到系統(tǒng)中。此時(shí),一個(gè)名為kill-floor.exe的惡意軟件開始在后臺(tái)運(yùn)行,它利用DeviceIoControl API和特定的IOCTL代碼,悄無聲息地掃描受害者計(jì)算機(jī)上的所有進(jìn)程。
一旦kill-floor.exe鎖定了受害者的防火墻和端點(diǎn)安全防護(hù)進(jìn)程,它就會(huì)毫不猶豫地調(diào)用API來終止這些關(guān)鍵的安全守護(hù)進(jìn)程。這樣一來,受害者的設(shè)備就完全暴露在了黑客的攻擊之下,如同失去了盔甲的戰(zhàn)士。
安全專家指出,這種攻擊手法之所以如此狡猾,是因?yàn)樗擅畹乩昧撕戏ǖ陌踩浖M件。Avast殺毒軟件作為業(yè)界的知名產(chǎn)品,其組件本身的安全性本應(yīng)是無可挑剔的,但這次事件卻給所有安全軟件廠商敲響了警鐘。
