محققان امنیت سایبری اخیرا یک حمله بدافزاری را کشف کردهاند که از تکنیک ” BYOVD” یا “درایور آسیب پذیر خود را بیاورید” به منظور دور زدن حفاظتهای آنتی ویروس استفاده میکند! این بدافزار از یک درایور قانونی Avast Anti-Rootkit (aswArPot.sys) برای به دست آوردن دسترسی سطح کرنل سوء استفاده میکند و به آن اجازه میدهد تا 142 فرآیند امنیتی را خاتمه داده و نرم افزار آنتی ویروس را غیرفعال سازد.
حمله با یک فایل اجرایی (kill-floor.exe) آغاز میشود که درایور Avast را بهعنوان یک سرویس با استفاده از Service Control (sc.exe) در سیستم قربانی مستقر کرده و آن را برای انجام اقدامات مخرب خود رجیستر میکند.
هنگامی که درایور راهاندازی میشود، بدافزار با دسترسی سطح کرنل به سیستم دسترسی پیدا میکند و 142 فرآیند از جمله فرآیندهای مربوط به نرمافزارهای امنیتی را خاتمه میدهد.
حملات BYOVD در سالهای اخیر به طور فزایندهای در میان گروههای باج افزاری رایج شدهاند و از آسیب پذیریهای درایورهای امضا شده برای فرار از شناسایی استفاده میکنند.
