Nueva campaña de malware AV Killer: amenazas avanzadas contra entornos Windows
El equipo de Cyber Threat Intelligence de Silent4Business (CTI-S4B) identificó una nueva campaña de malware AV Killer (AntiVirus Killer), de alto impacto en entornos Windows. Esta actividad presenta incidentes recientes en Brasil y se caracteriza por el uso de un artefacto que aprovecha el driver vulnerable ThrottleStop.sys para deshabilitar procesos de antivirus en sistemas Windows. La técnica empleada, denominada BYOVD (Bring Your Own Vulnerable Driver), permite a los atacantes disminuir las defensas locales y facilitar la propagación de amenazas como ransomware.
Detalle del incidente
La campaña de malware AV Killer comienza con el uso de credenciales administrativas válidas obtenidas por los adversarios. Con estas credenciales, los atacantes acceden a un servidor de correo a través de RDP (Remote Desktop Protocol).
Posteriormente, utilizando la herramienta ampliamente conocida Mimikatz, extraen el hash NTLM de contraseñas de usuario en sistemas Windows. Esto les permite crear cuentas en diferentes máquinas de la red y expandir el compromiso.
Varios artefactos, incluido el AV Killer, son transferidos a la carpeta C:\Users\Administrator\Music en el servidor de correo. Desde ahí se distribuyen hacia otros equipos de la red junto con el ransomware haz8.exe. La finalidad es comprobar si Windows Defender está activo y, en consecuencia, deshabilitar procesos de antivirus antes de ejecutar acciones maliciosas adicionales.
Análisis de la campaña de malware AV Killer
El AV Killer utiliza dos artefactos principales:
- ThrottleStop.sys: driver legítimo diseñado originalmente para monitorear y ajustar problemas de CPU throttling. Una vez cargado, este driver crea un canal de comunicación entre el modo de usuario y el kernel.
- All.exe: componente identificado como el AV Killer, que contiene mapeados los nombres de los procesos de antivirus que busca finalizar.
Cuando se ejecuta el binario, el atacante carga el driver mediante la API del controlador de servicios. A través de este proceso, se habilita la ejecución de rutinas en modo usuario que permiten desactivar soluciones de seguridad.
El AV Killer entra entonces en un bucle infinito en el que revisa los procesos activos en búsqueda de coincidencias con su lista estática de antivirus objetivo. Si detecta alguno, lo finaliza aprovechando la vulnerabilidad en ThrottleStop.sys, mediante las funciones de kernel PsLookupProcessById y PsTerminateProcess. Al terminar un proceso, el sistema muestra un mensaje en consola con el nombre del proceso deshabilitado.
Ilustración 1. Ejemplo de terminación de proceso.
Procesos y fabricantes afectados
El AV Killer incluye en su lista procesos de múltiples soluciones de seguridad, entre las que destacan:
- Avast y AVG Technologies (AvastSvc.exe, AVGSvc.exe, entre otros).
- BitDefender (bdservicehost.exe, BDAvScanner.exe, BDStatistics.exe, etc.).
- CrowdStrike (CSFalconService.exe, CSFalconUI.exe).
- ESET (egui.exe, ekrn.exe, ERAAgent.exe).
- Kaspersky (avp.exe, kavfs.exe, klnagent.exe).
- McAfee (Trellix) (mfevtps.exe).
- Microsoft Defender (MsMpEng.exe, SecurityHealthService.exe).
- Symantec (Broadcom) (ccSvcHst.exe, SepMasterService.exe, snac.exe).
- Panda Security (WatchGuard) (PSANHost.exe, PSUAMain.exe).
- SentinelOne (SentinelAgent.exe, SentinelHelperService.exe).
- Sophos (SophosFileScanner.exe, SophosFS.exe, SEDService.exe, hmpalert.exe).
| Nombres de los procesos | Vendor |
| AvastSvc.exe, AvLaunch.exe, aswToolsSvc.exe, afwServ.exe, wsc_proxy.exe, bccavsvc.exe | Avast |
| AVGSvc.exe, AVGUI.exe, avgsvca.exe, avgToolsSvc.exe | AVG Technologies (Avast) |
| bdlived2.exe, bdredline.exe, bdregsvr2.exe, bdservicehost.exe, bdemsrv.exe, bdlserv.exe, BDLogger.exe, BDAvScanner.exe, BDFileServer.exe, BDFsTray.exe, Arrakis3.exe, BDScheduler.exe, BDStatistics.exe, npemclient3.exe, epconsole.exe, ephost.exe, EPIntegrationService.exe, EPProtectedService.exe, EPSecurityService.exe, EPUpdateService.exe | BitDefender |
| CSFalconContainer.exe, CSFalconService.exe, CSFalconUI.exe | CrowdStrike |
| egui.exe, eguiProxy.exe, ERAAgent.exe, efwd.exe, ekrn.exe | ESET |
| avp.exe, avpsus.exe, avpui.exe, kavfs.exe, kavfswh.exe, kavfswp.exe, klcsldcl.exe, klnagent.exe, klwtblfs.exe, vapm.exe | Kaspersky |
| mfevtps.exe | McAfee (Trellix) |
| MsMpEng.exe, MsMpSvc.exe, MSASCui.exe, MSASCuiL.exe, SecurityHealthService.exe, SecurityHealthSystray.exe | Microsoft |
| QHPISVR.EXE, QUHLPSVC.EXE, SAPISSVC.EXE | Quick Heal Technologies |
| ccSvcHst.exe, ccApp.exe, rtvscan.exe, SepMasterService.exe, sepWscSvc64.exe, smc.exe, SmcGui.exe, snac.exe, SymCorpUI.exe, SymWSC.exe, webextbridge.exe, WscStub.exe | Symantec (Broadcom) |
| PSANHost.exe, pselamsvc.exe, PSUAMain.exe, PSUAService.exe | Panda Security (WatchGuard) |
| SentinelAgent.exe, SentinelAgentWorker.exe, SentinelHelperService.exe, SentinelServiceHost.exe, SentinelStaticEngine.exe, SentinelStaticEngineScanner.exe, SentinelUI.exe | SentinelOne |
| SophosFileScanner.exe, SophosFIMService.exe, SophosFS.exe, SophosHealth.exe, SophosNetFilter.exe, SophosNtpService.exe, hmpalert.exe, McsAgent.exe, McsClient.exe, SEDService.exe | Sophos |
Tabla 1. Procesos y fabricantes
Conclusiones del análisis
La campaña de malware AV Killer representa un ataque avanzado contra entornos Windows en el que los adversarios:
- Aprovechan credenciales administrativas comprometidas para expandir su control.
- Emplean Mimikatz para extraer hashes NTLM y crear nuevos usuarios.
- Distribuyen ransomware (haz8.exe) y otros artefactos maliciosos en equipos de la red.
- Deshabilitan procesos de antivirus mediante AV Killer con el abuso de ThrottleStop.sys.
Este tipo de ataques combina movimiento lateral, escalamiento de privilegios y evasión de defensas, lo cual incrementa la complejidad de la respuesta y eleva el riesgo operativo para las organizaciones.
El equipo de CTI-S4B continuará con el monitoreo de estas tácticas para anticipar tendencias y reforzar estrategias de protección.
Impacto y vectores de ataque
- Posible vector de ataque: explotación de vulnerabilidades, escalamiento de privilegios y filtración de credenciales.
- Impacto operativo: compromiso del sistema y exfiltración de datos sensibles.
- Región afectada: nacional e internacional.
Indicadores de Compromiso (IoCs)
MD5
6BC8E3505D9F51368DDF323ACB6ABC49
A88DAA62751C212B7579A57F1F4AE8F8
AE21B67BADAC11520338913AFBB013E2
E3EBA0EDFD0ACC783B7A9F55A99FA0CF
7245A979F591B744F8DE1C57C4615354
8930F92D689A0A8197123A35BB7E6F97
EB927D21F6B072AE81618AA784CFFF36
74F92FCE7556BB9B2A911F38DABE2ECD
SHA1
82ED942A52CDCF120A8919730E00BA37619661A3
C0979EC20B87084317D1BFA50405F7149C3B5C5F
EFF7919D5DE737D9A64F7528E86E3666051A49AA
0A15BE464A603B1EEBC61744DC60510CE169E135
D5A050C73346F01FC9AD767D345ED36C221BAAC2
987834891CEA821BCD3CE1F6D3E549282D38B8D3
86A2A93A31E0151888C52DBBC8E33A7A3F4357DB
DCAED7526CDA644A23DA542D01017D48D97C9533
SHA256
16F83F056177C4EC24C7E99D01CA9D9D6713BD0497EEEDB777A3FFEFA99C97F0
7A311B584497E8133CD85950FEC6132904DD5B02388A9FEED3F5E057FB891D09
6282935CE1BBF1EDE839927249D8E40C2A7D99CC7134D1A30A30C4225832A234
220C3A3C1CA97DEBBABFC2370826108785AEA4162D593E3C4E8BB9B413955041
6B617274D12B33E2DDC946DD379AAF6CAF942F34617B53ED51F355A1E1E09525
9DE69031319F58D70886DF8B6D378A6C2116436302CCA90C7D732DB7ED8EB53E
53EC23E45303511066B478BC58E02DF108417D748BDBECC3BB55A881A26F90A4
AC9019438B62C2E1A4B57A47E20D5CEFC34B913D67D258B8DB63E6B3C064CBEC
Tácticas, técnicas y procedimientos (TTPs)
| ID | Táctica | Descripción | Técnica/Subtécnica |
|---|---|---|---|
| TA0001 | Acceso Inicial | Uso de credenciales válidas para RDP | T1078 – Cuentas Válidas |
| TA0002 | Ejecución | Uso de Mimikatz para ejecutar comandos y extraer hashes NTLM | T1059 / T1204.002 |
| TA0003 | Persistencia | Creación de nuevas cuentas con hashes NTLM | T1136.001 |
| TA0004 | Escalada de Privilegios | Ejecución de acciones privilegiadas | T1548 |
| TA0005 | Evasión de Defensas | Terminación de procesos de antivirus con AV Killer | T1562.001 / T1562.006 |
| TA0007 | Descubrimiento | Escaneo de procesos activos | T1057 |
| TA0008 | Movimiento Lateral | Uso de RDP para conectarse a otros sistemas | T1021.001 |
| TA0040 | Impacto | Interrupción de servicios críticos | T1489 |
Recomendaciones
- Implementar políticas de rotación periódica de contraseñas administrativas.
- Habilitar MFA (autenticación multifactor) en accesos remotos como RDP.
- Restringir el uso de herramientas administrativas como Mimikatz mediante AppLocker o WDAC.
- Configurar EDR/antivirus para alertar sobre la carga de drivers no firmados.
- Mantener agentes de seguridad actualizados y reforzar la protección contra la terminación de procesos críticos.
- Segmentar la red para limitar movimiento lateral y aplicar el principio de “mínimo privilegio”.
Conclusión
El AV Killer evidencia la capacidad de los adversarios de aprovechar drivers vulnerables para desactivar defensas críticas en entornos Windows. Este tipo de ataques muestra cómo las amenazas combinan técnicas de evasión, escalamiento de privilegios y propagación lateral para incrementar su impacto.
En Silent4Business, mantenemos una vigilancia constante sobre campañas como esta, con el objetivo de proporcionar a las organizaciones inteligencia útil y oportuna. Conoce más sobre nuestras soluciones de ciberseguridad en: www.silent4business.com
Publicar comentario