11 октября 2025 года на GitHub была выпущена утилита IAmAntimalware, разработанная Two Seven One Three, которая внедряет вредоносный код в процессы популярных антивирусов. Она действует за счёт клонирования сервисов Windows и манипуляций с цифровыми подписями для обхода защиты.
Вредоносное внедрение кода в антивирусы
Технические возможности утилиты
IAmAntimalware заменяет загружаемые модули через уязвимость в реестре HKLM\SOFTWARE\Microsoft\Cryptography\Defaults\Provider, загружая DLL, контролируемую пользователем, вместо доверенных модулей. Пользователи предоставляют параметры, такие как оригинальное имя сервиса, путь к сертификату и путь DLL. Присутствие параметра 'P' позволяет использовать Protected Process Light (PPL).
Кроме того, инструмент поддерживает манипуляцию с COM объектами CLSID, требующую прав TrustedInstaller, для избегания криптографического вмешательства. Cloning сертификатов осуществляется с помощью утилиты CertClone, делая внедренные DLL легитимными для системы.
Воздействие на антивирусы и рекомендации
Атака продемонстрирована на Bitdefender BDProtSrv и тестировалась на Trend Micro и Avast, показывая разные результаты. Аналитики оценивают методику как угрозу средней степени, так как она требует доступа к системе. Однако она акцентирует внимание на проблемах доверительных моделей антивирусов.
- Для смягчения угроз рекомендуется мониторинг unusual module loads в процессах антивирусов.
- Строгая проверка сертификатов и используя endpoint detection с поведенческой аналитикой.
Это подчеркивает важность регулярной проверки целостности антивирусных программ и усиленной реализации PPL.
