近期,一起針對個人電腦的復雜黑客攻擊事件被安全專家揭露。此次攻擊中,黑客巧妙地利用了知名安全軟件Avast殺毒軟件中的Anti-Rootkit組件aswArPot.sys,將其作為入侵的跳板,成功繞過了受害者設備的多重安全防線。
黑客首先通過某種方式在受害者的計算機上部署了aswArPot.sys組件,隨后又引入了一個名為ntfs.bin的合法內核驅動程序。這一連串的操作,為后續的攻擊行動鋪平了道路。
緊接著,黑客利用系統自帶的sc.exe工具,創建了一個與aswArPot.sys同名的服務,并將ntfs.bin驅動程序注冊到系統中。此時,一個名為kill-floor.exe的惡意軟件開始在后臺運行,它利用DeviceIoControl API和特定的IOCTL代碼,悄無聲息地掃描受害者計算機上的所有進程。
一旦kill-floor.exe鎖定了受害者的防火墻和端點安全防護進程,它就會毫不猶豫地調用API來終止這些關鍵的安全守護進程。這樣一來,受害者的設備就完全暴露在了黑客的攻擊之下,如同失去了盔甲的戰士。
安全專家指出,這種攻擊手法之所以如此狡猾,是因為它巧妙地利用了合法的安全軟件組件。Avast殺毒軟件作為業界的知名產品,其組件本身的安全性本應是無可挑剔的,但這次事件卻給所有安全軟件廠商敲響了警鐘。
