Les chercheurs de Kaspersky ont découvert un nouveau malware, surnommé AV killer, qui exploite le driver légitime ThrottleStop.sys pour désactiver les processus de sécurité en utilisant des techniques BYOVD (Bring Your Own Vulnerable Driver). Cette menace a été active depuis octobre 2024, ciblant principalement des victimes en Russie, Biélorussie, Kazakhstan, Ukraine et Brésil dans le cadre de campagnes de ransomware MedusaLocker.
L’accès initial a été obtenu via des attaques RDP brute force, suivi par l’utilisation de Mimikatz pour l’extraction de crédentiels, permettant ensuite un mouvement latéral avant le déploiement de l’AV killer pour désactiver les défenses à travers le réseau.
Techniquement, le malware All.exe charge un driver ThrottleStop.sys vulnérable pour effectuer des opérations en mémoire au niveau du noyau via la fonction MmMapIoSpace. Il utilise NtQuerySystemInformation pour localiser les adresses du noyau, emploie la technique SuperFetch pour la traduction d’adresses virtuelles en physiques, et détourne l’appel système NtAddAtom pour exécuter des fonctions du noyau comme PsLookupProcessById et PsTerminateProcess. Le malware cible plus de 50 processus de sécurité de grands fournisseurs tels que Kaspersky, Microsoft Defender, CrowdStrike, et d’autres, utilisant les codes IOCTL 0x80006498 et 0x8000649C pour les opérations de lecture/écriture en mémoire.
Les IOCs (Indicateurs de Compromission) et TTPs (Techniques, Tactiques et Procédures) incluent l’exploitation de CVE-2025-7771, l’utilisation de Mimikatz, et le ciblage de processus de sécurité majeurs.
Cet article est une publication de recherche visant à informer sur une nouvelle menace exploitant une vulnérabilité de driver pour contourner les solutions de sécurité.
🔗 Source originale : https://securelist.com/av-killer-exploiting-throttlestop-sys/117026/