A Silver Fox APT aláírt sebezhető driverekkel kerüli meg a Windows védelmét

A Check Point Research friss elemzése egy kifinomult, élőben zajló támányt tárt fel, amelyet a Silver Fox APT csoporthoz kötnek. A kampány központi eleme egy korábban ismeretlen, de Microsoft által aláírt és így megbízhatónak hitt kernel driver (WatchDog Antimalware – amsdk.sys), amelyet a támadók arra használtak, hogy védett biztonsági folyamatokat (PP/PPL) szakítsanak meg. Ez lehetővé tette, hogy modern EDR/AV megoldásokat is kijátsszanak még a teljesen frissített Windows 10 és 11 rendszereken is. A támadók egy kettős stratégiát alkalmaztak: régi Zemana-alapú drivert használtak a régebbi Windowsokra, míg a modern környezetekben a WatchDog drivert.

A kampány önálló, minden az egyben betöltő fájlokat terjesztett, amelyek anti-analízis rétegeket, beágyazott drivereket, folyamatgyilkos logikát és a ValleyRAT letöltő modult tartalmaztak. A végső kártevő, a Kínához kötődő infrastruktúrát használó ValleyRAT távoli hozzáférést és adatlopást biztosított a támadók számára. A WatchDog később kiadott egy frissítést (wamsdk.sys), amely részben javította a sebezhetőségeket, de a folyamat-terminálási hiba megmaradt, és a támadók gyorsan alkalmazkodtak: a támadók egyetlen bájtot módosítottak a meghajtó Microsoft Authenticode aláírásának nem hitelesített időbélyeg mezőjében. Mivel ezt a mezőt nem fedi le a fő aláíráskivonat, a driver érvényesen aláírt és a Windows által megbízhatónak ítélt maradt, miközben maga a driver így egy új hash értéket kapott, így játszva ki a hash-alapú tiltólistákat.

Az eset rávilágít arra, hogy a digitálisan aláírt driverek sem tekinthetők automatikusan biztonságosnak, és a támadók egyre fejlettebb technikákkal élnek a BYOVD (Bring Your Own Vulnerable Driver) módszer alkalmazása során.

(forrás)