近期,一起针对个人电脑的复杂黑客攻击事件被安全专家揭露。此次攻击中,黑客巧妙地利用了知名安全软件Avast杀毒软件中的Anti-Rootkit组件aswArPot.sys,将其作为入侵的跳板,成功绕过了受害者设备的多重安全防线。
黑客首先通过某种方式在受害者的计算机上部署了aswArPot.sys组件,随后又引入了一个名为ntfs.bin的合法内核驱动程序。这一连串的操作,为后续的攻击行动铺平了道路。
紧接着,黑客利用系统自带的sc.exe工具,创建了一个与aswArPot.sys同名的服务,并将ntfs.bin驱动程序注册到系统中。此时,一个名为kill-floor.exe的恶意软件开始在后台运行,它利用DeviceIoControl API和特定的IOCTL代码,悄无声息地扫描受害者计算机上的所有进程。
一旦kill-floor.exe锁定了受害者的防火墙和端点安全防护进程,它就会毫不犹豫地调用API来终止这些关键的安全守护进程。这样一来,受害者的设备就完全暴露在了黑客的攻击之下,如同失去了盔甲的战士。
安全专家指出,这种攻击手法之所以如此狡猾,是因为它巧妙地利用了合法的安全软件组件。Avast杀毒软件作为业界的知名产品,其组件本身的安全性本应是无可挑剔的,但这次事件却给所有安全软件厂商敲响了警钟。
