2025 年年中,一场由 “银狐” APT(高级持续性威胁)组织发起的复杂攻击活动浮出水面。该组织正利用一款此前未被披露的易受攻击驱动程序,入侵现代 Windows 操作系统环境。
此次攻击活动利用的是 WatchDog 反恶意软件驱动程序(文件名为 amsdk.sys,版本号 1.0.600),这是一款基于 Zemana 反恶意软件软件开发工具包(SDK)构建、且带有微软数字签名的组件。
存在漏洞的有效签名 WatchDog 反恶意软件驱动程序(来源 – Check Point)
攻击者滥用该驱动程序的 “任意进程终止” 功能,在已完全安装补丁的 Windows 10 和 11 系统上绕过终端检测与响应(EDR)及反病毒(AV)防护,且不会触发基于特征码的防御机制。
攻击初始阶段会部署一个 “自包含加载器”,该加载器中嵌入了多个驱动程序和反分析层。
被感染的机器会接收一个加载器二进制文件,该文件首先会对虚拟机、沙箱环境及已知的分析环境进行检测。
一旦通过这些检测,加载器会将两个驱动程序 —— 一个是用于兼容旧系统、基于 Zemana 的旧版驱动程序,另一个是针对现代系统的新版 WatchDog 反恶意软件驱动程序 —— 释放到新创建的C:\Program Files\RunTime目录中。
Check Point 安全公司的研究人员指出,这两个驱动程序随后会被注册为内核服务:针对 Windows 7 系统的旧版驱动程序会注册在ZAM.exe进程下,而针对 Windows 10/11 系统的驱动程序则注册在amsdk.sys进程下。
加载器的 “Termaintor” 服务(注:原文疑似拼写错误,应为 “Terminator”,即 “终止器” 服务)会确保已执行的加载器存根(loader stub)保持持久化,而Amsdk_Service服务则负责协助驱动程序加载。
驱动程序注册完成后,该攻击活动的定制化 “EDR/AV 杀手” 逻辑会打开一个指向易受攻击驱动程序设备命名空间(路径为\\.\amsdk)的句柄,并发送 IOCTL(输入 / 输出控制)调用,以注册恶意进程并终止受保护的安全服务进程。
终止进程的流程会从一个包含 190 多个条目的 Base64 编码进程列表中读取信息 —— 该列表涵盖了主流反病毒软件和终端防护服务的进程 —— 随后通过DeviceIoControl函数发送IOCTL_TERMINATE_PROCESS命令,以终止正在运行的防护进程。
进程终止流程(来源:Check Point 安全公司)
通过滥用该驱动程序缺失 “FILE_DEVICE_SECURE_OPEN标志” 及 “PP/PPL 检查”(注:PP 即 Protected Process,受保护进程;PPL 即 Protected Process Light,轻量级受保护进程,均为 Windows 系统中的进程保护机制)的漏洞,“银狐” 组织实现了可靠的反病毒防护绕过。
Check Point 的分析师发现,终止安全进程后,加载器会对一个经过 UPX 加壳的 ValleyRAT 下载器模块进行解码,并将其注入内存。
该下载器模块会连接托管于中国境内的 C2(命令与控制)服务器,通过简单的 XOR 加密算法对配置流量进行解密,随后获取最终的 ValleyRAT 后门有效载荷。
ValleyRAT(又名 “Winos”)具备完整的远程访问能力,包括命令执行和数据窃取功能,这一特征也印证了该攻击活动的发起者正是 “银狐” APT 组织。
尽管 WatchDog 在漏洞被披露后发布了修复版驱动程序(文件名为 wamsdk.sys,版本号 1.1.100),但 “银狐” 组织迅速做出调整:仅修改了该驱动程序签名时间戳中 “未经验证属性” 的一个字节。
这一细微修改既保留了微软 Authenticode 数字签名的有效性,又生成了新的文件哈希值,从而在不改变签名合法性的前提下,有效绕过了基于哈希值的黑名单防护机制。
随后,经过修改的驱动程序会被顺利加载到目标系统中,使得攻击循环得以持续。
这种攻击技术凸显了一个更广泛的趋势:攻击者将合法且带有数字签名的驱动程序武器化,并操纵时间戳副签,以同时绕过静态检测和基于行为的检测机制。
标签(TAGS):网络安全(cyber security)、网络安全新闻(cyber security news)
- APT(Advanced Persistent Threat):高级持续性威胁,指具备组织性、持续性和针对性的网络攻击组织,通常由具备专业技术能力的团队组成,以窃取敏感信息或破坏系统为目标。
- EDR(Endpoint Detection and Response):终端检测与响应,是部署在终端设备(如电脑、服务器)上的安全工具,可实时监测终端上的恶意活动,并提供响应与溯源能力。
- IOCTL(Input/Output Control):输入 / 输出控制,是操作系统中用于实现应用程序与设备驱动程序之间通信的接口,攻击者常滥用该接口向驱动程序发送恶意指令。
- C2(Command and Control):命令与控制服务器,是攻击者用于远程控制被感染设备、下发指令及窃取数据的核心服务器。
- UPX(Ultimate Packer for eXecutables):一种常用的可执行文件加壳工具,通过压缩可执行文件代码来隐藏文件真实特征,常用于恶意软件规避检测。
- Authenticode:微软推出的数字签名技术,用于验证软件开发者身份及软件完整性,带有该签名的程序通常被视为 “可信程序”。
红客联盟·免责声明
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
联系我们:admin@chnhonker.com
