સંશોધકો નવી ઝુંબેશ શોધી કાઢે છે જે એન્ટીવાયરસ પ્રોટેક્શનને બંધ કરી શકે છે માલવેર કર્નલ લેવલને એક્સેસ કરવા માટે કાયદેસર અવાસ્ટ એન્ટિ-રૂટકીટ ડ્રાઇવરનો ઉપયોગ કરે છેએકવાર એન્ટીવાયરસ નિષ્ક્રિય થઈ જાય, માલવેર શોધ કર્યા વિના આગળ વધી શકે છે.
નિષ્ણાતોએ ચેતવણી આપી છે કે હેકર્સ તેમના માલવેરને છૂપાવવા, એન્ટિવાયરસ સુરક્ષા બંધ કરવા અને સિસ્ટમોને ચેપ લગાડવા માટે કાયદેસરના અવાસ્ટ એન્ટિ-રૂટકિટ ડ્રાઇવરનો ઉપયોગ કરી રહ્યા છે.
નબળા ડ્રાઈવરનું 2021 થી સંખ્યાબંધ હુમલાઓમાં શોષણ કરવામાં આવ્યું છે, મૂળ નબળાઈઓ ઓછામાં ઓછા 2016 થી હાજર છે, દ્વારા સંશોધન ટ્રેલિક્સએ દાવો કર્યો છે કે, માલવેરની નોંધ લેવાથી કર્નલ સ્તરે સુરક્ષા સૉફ્ટવેરની પ્રક્રિયાઓને સમાપ્ત કરવા માટે નબળા ડ્રાઇવરનો ઉપયોગ કરી શકે છે.
પ્રશ્નમાંનો માલવેર AV કિલર પરિવારનો છે, જેમાં સિસ્ટમને સંક્રમિત કરવા માટે લાવો-યોર-ઓન-વલ્નરેબલ-ડ્રાઈવર (BYOVD) તરીકે ઓળખાતા વેક્ટરનો ઉપયોગ કરીને હુમલો કરવામાં આવ્યો હતો.
વાયરસ એન્ટીવાયરસને બંધ કરી શકે છે
ટ્રેલિક્સે દર્શાવ્યું કે કેવી રીતે માલવેર ‘kill-floor.exe’ નામની ફાઇલનો ઉપયોગ ‘ntfs.bin’ નામના નબળા ડ્રાઇવરને ડિફોલ્ટ વિન્ડોઝ યુઝર ફોલ્ડરમાં મૂકવા માટે કરે છે, સર્વિસ કંટ્રોલ એક્ઝિક્યુટેબલ (sc.exe) નો ઉપયોગ કરીને ડ્રાઇવરને રજીસ્ટર કરવા પહેલાં ‘aswArPot.sys’ સેવા.
માલવેરમાં સામાન્ય સુરક્ષા ઉત્પાદનો દ્વારા ઉપયોગમાં લેવાતી 142 પ્રક્રિયાઓની હાર્ડકોડેડ સૂચિ છે, જેનો ઉપયોગ કોઈપણ મેચો માટે સિસ્ટમ પ્રક્રિયાના સ્નેપશોટને તપાસવા માટે થાય છે.
મૉલવેર પછી પ્રક્રિયાને સમાપ્ત કરવા માટે સંબંધિત આદેશો ચલાવવા માટે ‘DeviceIoControl’ API નો ઉપયોગ કરે છે, જેનાથી એન્ટિવાયરસને માલવેર શોધવામાં રોકે છે.
હાર્ડકોડેડ યાદીમાં McAfee, Avast, Microsoft Defender, BlackBerry, Sophos અને બીજા ઘણા નામોમાંથી સંખ્યાબંધ સુરક્ષા ઉત્પાદનો સાથે સંબંધિત પ્રક્રિયાઓનો સમાવેશ થાય છે.
તરીકે બ્લીપિંગ કોમ્પ્યુટર નિર્દેશ કરે છે કે, BYOVD હુમલાએ સંવેદનશીલ અવાસ્ટ ડ્રાઇવરનું શોષણ કર્યું હોય તેવી આ પ્રથમ ઘટના નથી, 2021 એવોસ્લોકર રેન્સમવેર અવાસ્ટ એન્ટી-રૂકિટ ડ્રાઈવરનો દુરુપયોગ કરતા હુમલા. સેન્ટીનેલ લેબ્સે પણ બે ઉચ્ચ-તીવ્રતાની ખામીઓ શોધી અને જાણ કરી તે જ વર્ષે અવાસ્ટ પર, જે થોડા સમય પછી પેચ કરવામાં આવી હતી.