2025 年年中,一场由 “银狐” APT(高级持续性威胁)组织发起的复杂攻击活动浮出水面。该组织正利用一款此前未被披露的易受攻击驱动程序,入侵现代 Windows 操作系统环境。
此次攻击活动利用的是 WatchDog 反恶意软件驱动程序(文件名为 amsdk.sys,版本号 1.0.600),这是一款基于 Zemana 反恶意软件软件开发工具包(SDK)构建、且带有微软数字签名的组件。
存在漏洞的有效签名 WatchDog 反恶意软件驱动程序(来源 – Check Point)
攻击者滥用该驱动程序的 “任意进程终止” 功能,在已完全安装补丁的 Windows 10 和 11 系统上绕过终端检测与响应(EDR)及反病毒(AV)防护,且不会触发基于特征码的防御机制。
攻击初始阶段
攻击初始阶段会部署一个 “自包含加载器”,该加载器中嵌入了多个驱动程序和反分析层。 被感染的机器会接收一个加载器二进制文件,该文件首先会对虚拟机、沙箱环境及已知的分析环境进行检测。 一旦通过这些检测,加载器会将两个驱动程序 —— 一个是用于兼容旧系统、基于 Zemana 的旧版驱动程序,另一个是针对现代系统的新版 WatchDog 反恶意软件驱动程序 —— 释放到新创建的C:\Program Files\RunTime目录中。
Check Point 安全公司的研究人员指出,这两个驱动程序随后会被注册为内核服务:针对 Windows 7 系统的旧版驱动程序会注册在ZAM.exe进程下,而针对 Windows 10/11 系统的驱动程序则注册在amsdk.sys进程下。
加载器的 “Termaintor” 服务(注:原文疑似拼写错误,应为 “Terminator”,即 “终止器” 服务)会确保已执行的加载器存根(loader stub)保持持久化,而Amsdk_Service服务则负责协助驱动程序加载。
攻击核心流程
驱动程序注册完成后,该攻击活动的定制化 “EDR/AV 杀手” 逻辑会打开一个指向易受攻击驱动程序设备命名空间(路径为\\.\amsdk)的句柄,并发送 IOCTL(输入 / 输出控制)调用,以注册恶意进程并终止受保护的安全服务进程。
终止进程的流程会从一个包含 190 多个条目的 Base64 编码进程列表中读取信息 —— 该列表涵盖了主流反病毒软件和终端防护服务的进程 —— 随后通过DeviceIoControl函数发送IOCTL_TERMINATE_PROCESS命令,以终止正在运行的防护进程。
进程终止流程(来源:Check Point 安全公司)
通过滥用该驱动程序缺失 “FILE_DEVICE_SECURE_OPEN标志” 及 “PP/PPL 检查”(注:PP 即 Protected Process,受保护进程;PPL 即 Protected Process Light,轻量级受保护进程,均为 Windows 系统中的进程保护机制)的漏洞,“银狐” 组织实现了可靠的反病毒防护绕过。
Check Point 的分析师发现,终止安全进程后,加载器会对一个经过 UPX 加壳的 ValleyRAT 下载器模块进行解码,并将其注入内存。
该下载器模块会连接托管于中国境内的 C2(命令与控制)服务器,通过简单的 XOR 加密算法对配置流量进行解密,随后获取最终的 ValleyRAT 后门有效载荷。
ValleyRAT(又名 “Winos”)具备完整的远程访问能力,包括命令执行和数据窃取功能,这一特征也印证了该攻击活动的发起者正是 “银狐” APT 组织。
通过操纵签名驱动程序实现检测绕过
尽管 WatchDog 在漏洞被披露后发布了修复版驱动程序(文件名为 wamsdk.sys,版本号 1.1.100),但 “银狐” 组织迅速做出调整:仅修改了该驱动程序签名时间戳中 “未经验证属性” 的一个字节。 这一细微修改既保留了微软 Authenticode 数字签名的有效性,又生成了新的文件哈希值,从而在不改变签名合法性的前提下,有效绕过了基于哈希值的黑名单防护机制。 随后,经过修改的驱动程序会被顺利加载到目标系统中,使得攻击循环得以持续。 这种攻击技术凸显了一个更广泛的趋势:攻击者将合法且带有数字签名的驱动程序武器化,并操纵时间戳副签,以同时绕过静态检测和基于行为的检测机制。 标签(TAGS):网络安全(cyber security)、网络安全新闻(cyber security news)关键术语补充说明
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论