Silver Fox利用微软签名的WatchDog驱动程序部署ValleyRAT恶意软件

近期，网络安全领域引发广泛关注的事件是名为Silver Fox的威胁行为者利用一个未知的、易受攻击的驱动程序——与WatchDog反恶意软件相关的“amsdk.sys”驱动，实施了一场针对安全解决方案的攻击。这种攻击方式被称为“Bring Your Own Vulnerable Driver”（BYOVD），其目的是使受害者主机上的安全软件失效，从而为恶意软件的部署打开大门。

驱动程序的背景

驱动程序是操作系统与硬件之间的桥梁，负责管理和协调计算机硬件的功能。Windows操作系统依赖于各种驱动程序来确保设备的正常运行。通常，用户和系统管理员会依赖于经过签名的驱动程序来确保软件的安全性和可靠性。然而，Silver Fox利用了一个有效签名的驱动程序，这使得攻击更加隐蔽。

“amsdk.sys”驱动程序是一个64位的Windows内核设备驱动，版本为1.0.600。由于其有效的数字签名，攻击者能够绕过许多安全防护措施，利用这一漏洞来禁用或绕过已安装的安全解决方案。

攻击的生效方式

在BYOVD攻击中，攻击者首先需要获得对受害者系统的访问权限。这通常是通过社交工程、恶意软件或其他手段实现的。一旦获得访问权限，攻击者就可以加载恶意驱动程序，或利用现有的驱动程序进行恶意操作。

具体而言，Silver Fox利用“amsdk.sys”驱动程序的漏洞，能够在不被检测的情况下与系统的内核交互。这种交互使得攻击者能够禁用系统的安全措施，例如反病毒软件和防火墙，从而为后续的恶意软件（如ValleyRAT）部署创造条件。ValleyRAT是一种远程访问特洛伊木马，能够窃取机密信息、监控用户活动并执行其他恶意操作。

工作原理

该攻击的核心在于利用驱动程序的权限和功能。在Windows中，驱动程序运行在内核模式下，拥有比用户模式下的应用程序更高的权限。这意味着，恶意驱动程序可以直接访问系统资源，修改内存内容，甚至操控硬件。

当“amsdk.sys”驱动程序加载时，Silver Fox能够利用其特权执行任意代码、修改系统设置，甚至完全控制设备。由于该驱动程序已被签名，系统会将其视为可信，可以绕过多种安全检测手段，从而使得攻击变得更加隐蔽和有效。

防范措施

为了防范类似的攻击，用户和企业可以采取以下一些措施：

1. 定期更新系统和软件：确保操作系统和所有驱动程序保持最新，及时修补已知漏洞。

2. 使用可信的安全解决方案：选择能够检测和防御驱动程序级别攻击的反病毒软件。

3. 限制权限：在系统中限制用户权限，避免普通用户运行具有内核权限的驱动程序。

4. 监控系统行为：使用行为监控工具来检测异常活动，及时响应潜在的安全威胁。

相关技术点

除了BYOVD攻击外，还有其他几种相关的攻击技术，如：

• Rootkit：一种能够隐藏自身存在的恶意软件，通常通过修改操作系统内核或驱动程序来实现。
• 恶意驱动程序：攻击者可能会创建和签名自己的恶意驱动程序，以便绕过安全检测。
• 内核级恶意软件：这些恶意软件直接运行在操作系统的内核空间，具有更高的权限，能执行更复杂的攻击。

综上所述，Silver Fox的这一攻击案例再次提醒我们，网络安全需要持续关注系统的每一个环节，特别是在驱动程序和内核层面。通过提高安全意识、加强防护措施，可以有效降低此类攻击带来的风险。