HackerNews 编译,转载请注明出处:
Check Point 周一发布的一份新报告显示,一种大规模恶意软件活动被发现利用与 Adlice 产品套件相关的易受攻击的 Windows 驱动程序,以规避检测并传递 Gh0st RAT 恶意软件。
“为了进一步规避检测,攻击者故意通过修改特定的 PE 部分生成了 2.0.2 驱动程序的多个变体(具有不同的哈希值),同时保持签名有效,” Check Point 表示。
这家网络安全公司称,此次恶意活动涉及数千个第一阶段恶意样本,这些样本被用来部署一个程序,该程序能够通过所谓的自带易受攻击驱动程序(BYOVD)攻击来终止终端检测与响应(EDR)软件。
在 VirusTotal 平台上,已识别出多达 2500 种不同的旧版 2.0.2 版本的易受攻击的 RogueKiller 反rootkit 驱动程序 truesight.sys 变体,尽管实际数量可能更高。EDR 杀手模块于 2024 年 6 月首次被检测和记录。
Truesight 驱动程序存在的问题是,影响 3.4.0 以下所有版本的任意进程终止漏洞,此前已被利用来设计概念验证(PoC)漏洞利用程序,如 Darkside 和 TrueSightKiller,这些程序自 2023 年 11 月以来就已公开。
2024 年 3 月,SonicWall 公布了一种名为 DBatLoader 的加载器的详细信息,该加载器被发现利用 truesight.sys 驱动程序来终止安全解决方案,然后再传递 Remcos RAT 恶意软件。
有证据表明,此次攻击活动可能是由一个名为 Silver Fox APT 的威胁行为者所为,因为在执行链和使用的技术上存在一定程度的重叠,包括“感染向量、执行链、初始阶段样本的相似性以及历史目标模式”。
此外,约 75% 的受害者位于中国,其余受害者主要集中在亚洲其他地区,包括新加坡和台湾。
攻击序列涉及分发通常伪装成合法应用程序的第一阶段工具,这些工具通过提供奢侈品交易的欺骗性网站和流行消息应用程序(如 Telegram)中的欺诈渠道进行传播。
这些样本充当下载程序,释放旧版 Truesight 驱动程序以及模仿常见文件类型(如 PNG、JPG 和 GIF)的下一阶段有效载荷。第二阶段恶意软件随后检索另一个恶意软件,该恶意软件反过来加载 EDR 杀手模块和 Gh0st RAT 恶意软件。
“虽然旧版 Truesight 驱动程序(2.0.2 版本)的变体通常由初始阶段样本下载和安装,但如果系统上尚未安装该驱动程序,它们也可以直接由 EDR/AV 杀手模块部署,” Check Point 解释道。
“这表明,尽管 EDR/AV 杀手模块已完全集成到此次活动中,但它能够独立于早期阶段运行。”
该模块采用 BYOVD 技术,利用易受攻击的驱动程序来终止与某些安全软件相关的进程。通过这种方式,攻击能够绕过微软易受攻击驱动程序阻止列表,这是一种基于哈希值的 Windows 机制,旨在保护系统免受已知易受攻击驱动程序的威胁。
攻击最终部署了一种名为 HiddenGh0st 的 Gh0st RAT 变体,该变体旨在远程控制被攻陷的系统,为攻击者提供进行数据盗窃、监视和系统操纵的途径。
截至 2024 年 12 月 17 日,微软已更新驱动程序阻止列表,将相关驱动程序纳入其中,有效阻止了利用该驱动程序的攻击向量。
“通过修改驱动程序的特定部分,同时保留其数字签名,攻击者绕过了常见的检测方法,包括最新的微软易受攻击驱动程序阻止列表和 LOLDrivers 检测机制,使他们能够长时间躲避检测,” Check Point 表示。
“利用任意进程终止漏洞,使 EDR/AV 杀手模块能够针对和禁用与安全解决方案相关联的进程,进一步增强了此次攻击活动的隐蔽性。”
消息来源:The Hacker News;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
