駭客大屠殺:數千惡意驅動程式正悄悄侵入你的電腦!

Check Point Research 報告了利用 Truesight 驅動程式舊版漏洞的大規模網路活動。攻擊者使用了數千種修改過的驅動程式(版本 2.0.2)來繞過安全措施,包括 Microsoft 有漏洞的驅動程式封鎖清單(Microsoft Vulnerable Driver Blocklist)和常見的偵測技術。這使得他們能夠部署 EDR/AV 殺手模組並最終傳播 Gh0st RAT Payload,主要針對中國和亞洲的受害者。攻擊者透過網路釣魚策略傳播惡意軟體,將其偽裝成合法應用程式。該研究強調了基於Hash的檢測的局限性以及主動威脅搜尋和強大安全機制的重要性。 Check Point 向 Microsoft 報告了此問題,並更新了封鎖清單以防止利用此特定驅動程式。

駭客大屠殺:數千惡意驅動程式正悄悄侵入你的電腦!| 資訊安全新聞

Check Point Research的發現

Check Point Research (CPR) 發現了一場大規模、正在進行的活動,利用舊驅動程式部署 EDR/AV 殺手模組。該活動於 2024 年 6 月開始,利用數千個惡意樣本來停用受感染機器上的安全解決方案。攻擊者主要針對中國和亞洲其他地區的受害者,並使用複雜的技術來逃避偵查。

關鍵亮點

  • 有漏洞的驅動程式:該活動利用了 Truesight.sys 驅動程式的舊版本 2.0.2,這是 Adlice 產品套件中的 RogueKiller Antirootkit 驅動程式。此驅動程式在 3.4.0 以下的版本中存在已知漏洞。
  • 利用 Windows 原則漏洞:攻擊者利用 Windows 原則中的漏洞(驅動程式簽署策略中的例外)在最新的 Windows 作業系統版本上載入存在漏洞的驅動程式。
  • 變體產生:為了逃避偵測,攻擊者透過修改特定的 PE 部分並保持簽名有效來產生 2.0.2 驅動程式的多個變體。已檢測到超過 2,500 個此驅動程式有效簽署的變體。
  • 基礎設施和受害者學:攻擊者使用公有雲中國區域的基礎設施來託管Payload並操作其 C2 伺服器。約75%的受害者位於中國,其餘位於亞洲其他地區。
  • 釣魚式傳播:初始階段樣本透過釣魚方式傳播,包括欺騙性網站、簡訊應用程式中的釣魚管道等。這些樣本充當下載器/載入器,通常偽裝成知名應用程式。
  • 最終Payload:該活動提供了最終階段的Payload,例如 Gh0st RAT 變體,旨在遠端控制受感染的電腦。
  • 微軟回應:CPR 將此問題報告給了 MSRC,從而導致了微軟有漏洞的驅動程式阻止清單的更新版本(自 2024 年 12 月 17 日起可用),該更新版本有效地阻止了所有被利用的舊式驅動程式的變體。

技術分析

此次攻擊涉及多階段感染過程:

  • 第 1 階段:下載第 2 階段、加密Payload和 Truesight 驅動程式版本 2.0.2。
  • 第 2 階段:載入加密Payload並下載第 3 階段及其加密Payload。
  • 第 3 階段 :載入加密Payload,在記憶體中部署 EDR/AV 殺手模組,
    在記憶體中下載並執行最後階段(Gh0st RAT),並連接到 C2 伺服器。
  • 持久性:第 2 階段和第 3 階段透過計畫任務實現持久性,濫用 DLL 側加載技術(Side-loading technique)。
  • EDR/AV Killer 模組:此模組濫用舊版的 Truesight 驅動程式(2.0.2)來終止與安全解決方案相關的程序。此模組使用Windows API函數DeviceIoControl將IOCTL 0x22E044(任意程序終止)直接傳送到Truesight驅動程式的裝置。

Truesight 驅動程式操縱

  • 繞過封鎖清單:攻擊者選擇了 2.0.2 版本的 Truesight 驅動程式來繞過 Microsoft 有漏洞的驅動程式封鎖清單。此版本最初並未被識別為已知有漏洞的驅動程式。
  • 逃避使用Hash的偵測:攻擊者透過改變 PE 檔案的特定部分同時保持數位簽章有效,產生了數千種驅動程式變體。他們修改了 PE header checksum以及WIN_CERTIFICATE結構的填充。

為什麼是 Truesight 2.0.2?

  • 公開可用的 PoC:由於存在公開的概念驗證 (PoC) 漏洞,攻擊者可以輕鬆利用已知漏洞(任意程序終止)。
  • Windows 策略漏洞:舊版驅動程式版本 2.0.2 屬於微軟驅動程式簽章策略驗證的例外情況,因此它甚至可以在最新的 Windows 11 版本上載入。
  • 繞過 Microsoft 有漏洞的驅動程式封鎖清單:與 Truesight 驅動程式版本 2.0.2 關聯的憑證的 TBS 雜湊值最初未包含在 Truesight 驅動程式的封鎖清單中,從而允許其繞過此安全機制。

最後階段:Gh0st RAT

攻擊的最後階段涉及部署 Gh0st RAT 的變種,這是一種遠端存取木馬,以遠端控制受感染的電腦進行資料竊取、監視和系統操縱而聞名。攻擊者使用了一種變體,可能是 HiddenGh0st,它使用帶有加密的自訂網路協定。

緩解和補救措施

應用 Microsoft 驅動程式封鎖清單:在所有 Windows 系統上啟用並套用 Microsoft 驅動程式封鎖清單的最新更新。 CPR 向 MSRC 報告了該問題,並於 2024 年 12 月 17 日更新了封鎖列表,其中現在包括舊版 Truesight 驅動程式。全面的偵測策略:實施基於雜湊值的檢查以外的多方面的偵測方法來識別複雜的攻擊。

結論

總而言之,該研究揭露了一場大規模的活動,攻擊者成功利用舊驅動程式來破壞系統,凸顯了網路安全的幾個關鍵要點:

  • 主動搜尋威脅至關重要:這次活動的發現強調了主動尋找尚未發現有漏洞的驅動程式的濫用行為的價值。此類努力可以揭露長期逃避偵查的秘密行動。
  • 只有Hash的檢測是不夠的:攻擊者可以輕鬆修改驅動程式來更改檔案Hash值,同時保留有效的數位簽章,從而讓基於Hash值的偵測無效。
  • 多方面的安全機制至關重要: Microsoft 驅動程式阻止清單使用Hash以外的屬性,提供了一種更強大的方法來阻止已知的有漏洞的驅動程式並提高整體保護。此封鎖清單的最新更新現在包括已利用的舊版 Truesight 驅動程序,可有效阻止其所有變體的載入。
  • 人的因素很重要:最初使用社會工程和網路釣魚方法來傳播惡意軟體。
  • 攻擊者可以繞過安全措施:透過利用任意程序終止漏洞,攻擊者能夠逃避常見的偵測方法,包括最新的 Microsoft 有漏洞的驅動程式封鎖清單和 LOLDrivers 偵測機制。

這項作戰強調需要持續保持警惕並採用超越傳統檢測方法的全面安全策略來有效防禦不斷演變的網路威脅。