Silver Fox 利用 Microsoft 签名驱动程序的漏洞 部署 ValleyRAT 后门

混淆既是艺术

滥用 Microsoft 签名的驱动程序
攻击的核心是 WatchDog 反恶意软件驱动程序（amsdk.sys，版本 1.0.600）。
尽管由 Microsoft 签名并且之前未被列为易受攻击，但该驱动程序被滥用来终止与防病毒和 EDR 工具相关的进程，为部署 ValleyRAT 扫清了道路——一种能够监视、命令执行和数据泄露的模块化后门。
Silver Fox 还依靠较旧的基于 Zemana 的驱动程序 （ZAM.exe） 来保持从 windows 7 到 Windows 11 等系统之间的兼容性。
这两个驱动程序都允许任意进程终止，使攻击者能够禁用受保护的进程。

规避和归因
一种技术涉及通过更改时间戳字段中的单个字节来修改已修补的 WatchDog 驱动程序（wamsdk.sys，版本 1.1.100）。由于 Microsoft 的数字签名不涵盖此字段，因此驱动程序签名仍然有效，但显示为具有不同哈希的新文件。
攻击中使用的基础设施被追踪到中国的服务器，而恶意软件配置专门针对在东亚流行的安全产品。这些细节与 ValleyRAT 有效载荷相结合，导致归因于 Silver Fox APT。
尽管 WatchDog 发布了解决本地权限提升缺陷的更新，但任意进程终止仍然可能使系统容易受到攻击。
CPR 研究强调，仅靠签名和哈希检查是不够的。建议安全团队应用 Microsoft 最新的驱动程序阻止列表，使用 YARA 检测规则并实施基于行为的监控来捕获异常驱动程序活动。
“我们的研究强调了安全供应商和用户不断努力的必要性，以对新出现的对合法驱动程序的滥用保持警惕，”CPR 写道。
“主动识别、报告和修补这些漏洞对于利用自带易受攻击的驱动程序 （BYOVD） 技术加强 Windows 系统抵御不断变化的威胁至关重要。”