安全公司Check Point研究人员披露,黑客组织Silver Fox APT在近期攻击活动中,利用一款由微软签署,却未列入任何封锁清单的WatchDog Antimalware驱动程序,绕过Windows10与11的安全机制,进一步关闭杀毒与EDR等防护工具,最后植入远程访问木马ValleyRAT。
研究人员观察到,攻击者准备了两种驱动程序,以应对不同版本的Windows版本,在Windows 7等旧版系统,他们加载早已知名且被被监管的Zemana驱动程序ZAM.exe 3.0.0.000,而在新版Windows10与11上,则使用之前未被发现有问题的WatchDog驱动程序amsdk.sys 1.0.600。两者皆能绕过操作系统的受保护程序(PP/PPL)机制,直接终止EDR或杀毒软件的关键服务。当安全工具被迫关闭后,恶意程序得以不受干扰地进行下一步操作。
黑客攻击流程通常由多功能恶意加载器启动,恶意加载器在执行时会先检查是否处于虚拟环境或沙箱,以规避分析。当判断为安全环境,便会加载相应驱动,进行程序终止,再下载并启动ValleyRAT。研究人员也指出,恶意程序具备持久化机制,确保受害计算机重新开机后仍会继续执行。
WatchDog在接获通报后,推出新版驱动试图修补问题并加强权限控制。不过,研究人员又发现该版本仍未检查PP/PPL,还是允许攻击者关闭杀毒软件程序,而且Silver Fox APT也很快地修改了新版驱动的签章属性,通过极小幅度的变动改变文件散列值,成功避开散列比对式的封锁机制,同时保留微软签章的有效性。
黑客的最终目标是部署ValleyRAT,这是一款已知与Silver Fox APT高度关联的后门程序,能进行远程控制、数据窃取与持续监控。研究人员指出,相关C2服务器位于中国境内,并锁定亚洲地区常用的杀毒软件为主要攻击对象,显示其行动具有针对性。
研究人员建议,企业应确保套用新版封锁清单,并搭配行为式侦测与监控,例如侦测受保护程序遭异常终止或关键安全服务被停用,同时也可套用Check Point提供的YARA规则。
