自2025年年中起,一个被归因于“银狐”(Silver Fox)APT组织的复杂攻击行动浮出水面。该组织正在利用一个此前未公开的漏洞驱动程序,针对现代Windows环境实施攻击。
此次行动利用的是 WatchDog反恶意软件驱动(amsdk.sys,版本1.0.600)——这是一个基于Zemana反恶意软件SDK构建的微软签名组件。攻击者滥用其任意进程终止能力,能够在已完整打补丁的Windows 10和11系统中绕过EDR和杀毒软件(AV)的防护,而不会触发基于特征码的检测机制。
攻击初始阶段,黑客部署了一个自包含的加载器,其中嵌入了多个驱动程序和反分析机制。受感染的机器首先接收该加载器二进制文件,它会对虚拟机、沙箱及已知分析环境进行检测。若检测通过,加载器会将两个驱动程序写入新建目录 C:\Program Files\RunTime:一个是用于兼容旧系统的Zemana驱动,另一个是针对现代系统的WatchDog驱动。
Check Point研究人员指出,这两个驱动随后会被注册为内核服务:Windows 7系统下的驱动注册为 ZAM.exe,而Windows 10/11系统则加载 amsdk.sys。与此同时,加载器的 “Terminator”服务保证加载器存根的持久运行,而 Amsdk_Service 则负责驱动加载。
驱动注册完成后,该组织定制的EDR/AV清除逻辑会打开漏洞驱动的设备命名空间(\\.\amsdk),并通过IOCTL调用来登记恶意进程,同时终止受保护的安全服务进程。其终止流程会读取一个Base64编码的进程列表,其中包含超过190个常见的杀毒和终端防护服务条目,再利用DeviceIoControl发送 IOCTL_TERMINATE_PROCESS 命令来逐一清除这些防御进程。
由于该驱动缺少 FILE_DEVICE_SECURE_OPEN 标志,且未进行PP/PPL保护检查,银狐APT得以稳定实现AV规避。
在清除安全进程后,加载器会解码并注入一个UPX压缩的 ValleyRAT 下载器模块到内存中。该模块随后连接至C2服务器,通过简单的XOR算法解密配置信息,并拉取最终的 ValleyRAT后门。ValleyRAT(内部代号“Winos”)提供完整的远程访问能力,包括命令执行与数据窃取,从而进一步印证了此次行动的银狐APT溯源。
通过签名驱动操纵实现检测规避
尽管WatchDog在披露后发布了修复版本驱动 wamsdk.sys(1.1.100),银狐APT却很快做出应对:他们在驱动签名时间戳的未认证属性中仅修改了一个字节。
这种细微调整既保留了微软的Authenticode签名,又生成了一个全新的文件哈希,从而轻松绕过基于哈希的阻止名单,同时不影响签名的合法性。被篡改的驱动依旧能够在目标系统上无缝加载,攻击链得以延续。
这一技术手法凸显出更广泛的趋势:攻击者正日益武器化合法的签名驱动,并通过篡改时间戳副签等手段,规避静态与行为检测机制的双重拦截。
发表评论
您还未登录,请先登录。
登录