Aanvaller installeert antivirus om aanwezige securitysoftware uit te schakelen

[Captain Kirk]

Aanvallers installeren op gecompromitteerde systemen antivirussoftware om daarmee de aanwezige securitysoftware uit te schakelen, zo laat securitybedrijf Rapid7 weten. Het bedrijf deed onlangs onderzoek naar een aanval, die begon via een gecompromitteerde SharePoint-server. Om detectie binnen de gecompromitteerde omgeving te voorkomen installeerde de aanvaller Huorong Internet Security, dat in de Microsoft Store verkrijgbaar is.

De installatie van deze antivirussoftware zorgde voor een conflict met de al aanwezige beveiligingsoplossingen op het systeem, waardoor de services van deze producten crashten. Door het wegvallen van de beveiligingsoplossingen kon de aanvaller verder met zijn aanval. Voordat hij Huorong AntiVirus installeerde had de aanvaller namelijk geprobeerd om Impacket te installeren. Dit is een verzameling Python-scripts om met netwerkprotocollen te werken.

De installatie van Impacket werd door de aanwezige beveiligingsoplossing tegengehouden, waarop de aanvaller Huorong Internet Security installeerde en alsnog verder kon. "De installatie van een extern antivirusproduct om securitytooling uit te schakelen is een interessante techniek die we tijdens dit onderzoek ontdekten", aldus het securitybedrijf. Rapid7 heeft Indicators of Compromise met betrekking tot de aanval en het gebruik van de antivirussoftware voor 'Defense Evasion' via het eigen blog gedeeld. De naam van de uitgeschakelde securityproducten is niet bekendgemaakt.

 

bron: https://www.security.nl