如今,存在着大量尚未开发的可利用驱动程序。通过仅利用其中一个,攻击者就能够击败安全工具并用 Gh0stRAT 感染亚洲公民。
网络犯罪分子一直在利用易受攻击的 Windows 驱动程序来破坏受保护的进程并可能感染数千个系统。
很长一段时间以来,Microsoft和攻击者都知道“Truesight.sys”驱动程序(与 Adlice 的“Roguekiller”反恶意软件程序相关联)容易受到任意进程终止的影响。然而,Microsoft 易受攻击的驱动程序阻止列表中的一个小错误允许一个特定版本未经审查地滑行。
从去年 6 月中旬左右开始,一个名为“Silver Fox”的网络犯罪组织利用与 Truesight.sys 相关的错误,对东南亚各地的目标(但主要是中国本土)发起了自带易受攻击的驱动程序 (BYOVD) 攻击。它允许 Silver Fox 绕过他们在此过程中遇到的任何安全流程,并最终用 Gh0stRAT 感染受害者。
弱势司机如何偷偷溜过所有人
驱动程序是机器上一些最有特权的组件,通常享有对最低内核级别的必要访问权限。
“以前,您会看到高级持续性威胁 (APT) 一直在使用驱动程序,因为它们是最好的,”发现Truesight.sys活动的 Check Point 研究小组经理 Eli Smadja 回忆道。“通过加载具有系统权限的驱动程序,您基本上可以在系统根级别执行任何您想做的事情,并且没有人可以判断是否存在恶意行为。”
认识到驱动因素带来的风险,Microsoft 在 2016 年实施了一项新政策,要求所有驱动因素都通过其开发门户(即 Microsoft 本身)进行签名。为避免向后兼容性问题,2015 年 7 月 29 日之前颁发的认证驱动程序例外。
不过,这为攻击者利用易受攻击的 2015 年之前的驱动程序提供了可能性,因此 Microsoft 还维护了已知易受攻击的驱动程序的阻止列表。此列表根据驱动程序具有的某些属性来跟踪驱动程序,例如其文件名、版本范围和称为待签名 (TBS) 哈希的属性,该哈希的作用有点类似于驱动程序证书的指纹。
Roguekiller 驱动程序Truesight.sys已被广泛滥用,GitHub 上免费提供了多个概念验证 (PoC)。因此,Windows 知道要阻止其所有版本,直到 3.4.0,此时其进程终止功能已修复。
但奇怪的是,驱动程序的一个特定版本 (2.0.2) 拥有错误的 TBS 哈希。因此,Truesight.sys 2.0.2 享受了两全其美的优势:不受 Microsoft 的新签名策略的约束,但也未能在其阻止列表中正确注册。
通过利用这种状况,网络犯罪分子能够深入受害者的设备,深度足以杀死与防病毒 (AV) 和端点检测和响应 (EDR) 工具相关的受保护进程。
Dark Reading 已询问 Microsoft 2.0.2 驱动程序如何与错误的哈希相关联。如果该信息可用,本文将进行更新。
一个尚未开发的根级威胁世界
这次可能已经Truesight.sys了,但在 2015 年之前和之后开发的任何数量的驱动程序都为愿意为它们进行洞穴探险的黑客提供了机会。
“许多较旧的驱动程序是在开发时没有像现在的开发人员那样认真对待安全性,”Smadja 说,并补充说即使是现代驱动程序也有其缺点。例如,一些驱动程序努力确保它们只接收经过正确身份验证的 I/O 命令,“但大多数公司不实施该检查,这意味着知道要发送给驱动程序的正确命令的攻击者可以作它。
为了预测哪些司机可能已经成熟,可以被利用,Smadja 和他的同事们开发了工具和方法,使他们能够扫描他们所说的“未知到易受攻击的司机”的弱点。到目前为止,这些扫描的结果证明发人深省。
“我们已经找到了数千个——几乎是无穷无尽的。基本上,如果我们继续研究,我们可能会发现数以万计的合法驱动程序可用于恶意目的,“他报告说。
他说,就像任何软件一样,“几乎在每个驱动程序中,你都可以找到一些漏洞”,因此 Microsoft 不能只浏览一个列表并开始将它们全部列入黑名单。“如果我们仅仅因为知道驱动程序内部包含漏洞就开始 [阻止] 驱动程序,我们将造成非常有问题的情况。你知道,你会尝试安装打印机或其他应用程序,但它会被阻止,没有人会知道为什么。
“最好的解决方案是,如果您发现驱动程序存在漏洞,请将其报告给供应商,然后让供应商尝试在下一个版本中修复它,”Smadja 建议道。不过,他承认,即使是在未开发的弱势驱动因素中取得一点点影响也是不现实的。
“向所有供应商报告所有易受攻击的司机......这是不可能的。所以,是的,这是一个问题。这是一个大问题,“他说。
信息来源:https://www.darkreading.com/cyber-risk/silver-fox-byovd-attack-windows-blocklist
AI API 安全 DMARC 中国 云安全 五角大楼 人工智能 关税 加密货币 勒索软件 品牌冒充 国家安全 威胁情报 应用程序安全 恶意软件 数字货币 时事政治 时政 时政新闻 木马病毒 欺诈管理和网络犯罪 欺骗 民族国家攻击 漏洞和威胁 特朗普政府 社会工程学 社会工程学、网络战 移动安全 端点安全 缺口 网络安全 网络安全运营 网络攻击和数据泄露 网络犯罪 网络罪犯 网络钓鱼 网络间谍 网络风险 美国贸易代表办公室 联邦贸易委员会 脆弱性 金融与银行 间谍软件 阿联酋 骗局