簡介

ABYSSWORKER 代表勒索軟體操作者在策略上的重大演進。這個客製化的惡意驅動程式主要功能是關閉 Endpoint detection and response(EDR)系統,讓相關的惡意軟體,特別是 MEDUSA 勒索軟體,能在受感染的機器上不受阻礙地運作 [1] 。這款驅動程式透過主動針對並讓多個 EDR 廠商毫無反應,成功規避原本能阻止勒索軟體攻擊鏈的偵測與防護能力 [1] 。ABYSSWORKER 的一個顯著特徵是其數位簽章,使用的憑證很可能是從多家中國公司竊取並隨後被撤銷的 [1] 。這種手法主要目的是讓驅動程式初步看起來合法,可能繞過基本的資安檢查。值得注意的是,ABYSSWORKER 不僅與 MEDUSA 勒索軟體相關,ConnectWise 之前也曾在另一場攻擊中發現這款驅動程式,雖然當時使用的是不同的數位憑證和獨特的輸入/輸出(IO)控制碼 [1] 。這類專用工具的出現,凸顯了威脅行為者(Threat actor)日益專注於在部署主要攻擊 Payload 前,先使資安措施無效。

防火牆之外的洞察:深入剖析 EDR 殺手級惡意軟體的心理戰。 | 資訊安全新聞

背景

Elastic Security Labs 在監控一場以部署 MEDUSA 勒索軟體為中心的財務動機網路攻擊時,發現了 ABYSSWORKER [1] 。這場攻擊展現了多階段的感染過程,其中使用了搭配 HEARTCRYPT 的載入器與 ABYSSWORKER 驅動程式 [1] 。HEARTCRYPT 封裝工具可能用來混淆初始載入器,使傳統資安解決方案更難在載入器安裝更強大的 ABYSSWORKER 驅動程式之前偵測到它。一旦安裝到受害者的系統上,ABYSSWORKER 驅動程式的主要目標是辨識並關閉一系列已安裝的 EDR 解決方案,進而創造一個讓 MEDUSA 勒索軟體能不受干擾執行的環境 [1] 。這款具備 EDR 終結能力的特定驅動程式,早在 Elastic Security Labs 發現之前,就已被 ConnectWise 在另一場攻擊中觀察到,顯示其更廣泛的用途以及威脅行為者可能正在持續開發此工具 [1] 。這表明 ABYSSWORKER 是網路犯罪分子的重要資產,他們希望透過確保端點保護不存在,來最大化勒索軟體攻擊的影響。

技術分析

二進位特徵與辨識

ABYSSWORKER 驅動程式被辨識為一個 64 位元的 Windows 可攜式執行檔(PE),檔案名稱為 smuol.sys [1] 。這個檔案名稱值得注意,因為它似乎試圖偽裝成 CrowdStrike Falcon 的合法驅動程式,通常使用檔案名稱 CSAgent.sys [1] 。這種模仿行為是惡意軟體常見的伎倆,試圖混入合法系統程序中,僅靠檔案名稱規避偵測。透過 VirusTotal 等威脅情報平台的分析,發現了多個 ABYSSWORKER 樣本,時間戳範圍從 2024 年 8 月 8 日到 2025 年 2 月 25 日 [1] 。這段時間線顯示該惡意軟體的持續攻擊與部署。有趣的是,雖然大部分分析樣本使用 VMProtect(一種軟體保護工具)進行封裝,但有一部分樣本並未採用這種保護 [1] 。封裝的使用顯示出阻礙逆向工程與靜態分析的意圖,但未封裝樣本的存在為深入研究其功能提供了機會。

數位憑證

ABYSSWORKER 技術特徵的一個重要面向是其使用數位簽章。所有已辨識的樣本都使用極可能被竊取並隨後撤銷的數位憑證簽署 [1] 。這些憑證來自多家中國公司,這些公司似乎與惡意軟體的開發或部署無任何合法關聯 [1] 。觀察到這些被盜用的憑證已被用於多種不同的惡意軟體樣本與攻擊攻擊中,顯示其可能在地下網路犯罪市場中被廣泛滲透或流通 [1] 。這些被撤銷憑證的特定指紋提供了威脅偵測與情報的寶貴指標。

表 1:被竊取並撤銷的憑證指紋

指紋

名稱

51 68 1b 3c 9e 66 5d d0 b2 9e 25 71 46 d5 39 dc

佛山市高明科德宇絕緣材料有限公司

7f 67 15 0f bb 0d 25 4e 47 42 84 c7 f7 81 9c 4f

費曉

72 88 1f 10 cd 24 8a 33 e6 12 43 a9 e1 50 ec 1d

福州市鼎鑫貿易有限公司

75 e8 e7 b9 04 3b 13 df 60 e7 64 99 66 30 21 c1

長沙恒翔信息技術有限公司

03 93 47 e6 1d ec 6f 63 98 d4 d4 6b f7 32 65 6c

新疆易世聯網絡科技有限公司

4e fa 7e 7b ba 65 ec 1a b7 74 f2 b3 13 57 d5 99

深圳市雲點科技有限公司

使用這些被撤銷的憑證凸顯了攻擊者意圖繞過作業系統的初步檢查,這些檢查可能會阻止未簽署驅動程式的載入。然而,這些憑證已廣為人知與惡意攻擊相關,意味著能夠追蹤被撤銷憑證的資安解決方案,可能會標記並阻擋 ABYSSWORKER。

混淆技術

ABYSSWORKER 使用了一些程式碼混淆技術來阻礙靜態分析 [1] 。其中一個值得注意的方法是使用總是返回相同常數值的函數,通常依賴不透明謂詞 (Opaque predicates) 和其他衍生函數的組合 [1] 。例如,該惡意軟體在記憶體位址 0x3238 包含一個始終根據硬編碼 (hardcoded) 衍生值返回零的函數 [1] 。類似地,位於 0xF0B4 的衍生函數用於產生常數值 [1] 。這些函數在整個二進位檔案中被反覆呼叫,例如在位址 0x10D2,似乎試圖複雜化理解程式控制流程與邏輯的過程 [1] 。然而,分析顯示只有三個這樣的常數返回函數,且它們未被用於任何條件謂詞 (conditional predicates) 中,只是單純被呼叫 [1] 。這表明雖然有混淆的企圖,但並不特別複雜,資安分析師使用適當工具與技術應該能相對容易地克服。這混淆的簡單性可能顯示該惡意軟體的規避能力主要聚焦於核心層級的互動,而非高度複雜的程式碼隱藏機制。

初始化流程

執行時,ABYSSWORKER 驅動程式會啟動一系列步驟來準備其惡意攻擊 [1] 。第一階段包含獲取各種核心模組的指標並初始化其客戶端保護功能 [1] 。這可能包含解析必要核心元件的基址(Base addresse),以促進與作業系統功能的直接互動。接著,驅動程式創建一個特定路徑為 \\device\\czx9umpTReqbOOKF的裝置物件,以及對應的符號連結路徑 \\??\\fqg0Et4KlNt4s1JT [1] 。這些物件作為介面,讓使用者模式應用程式或其他核心元件能與驅動程式通信,通常透過發送 IO 控制碼來觸發特定動作。初始化流程以註冊驅動程式主要功能的 Callback 結束 [1] 。這些 Callback 允許驅動程式攔截特定系統事件,例如開啟程序或載入映像,並執行自己的程式碼作為回應。這是其 EDR 終結能力的重要機制,讓驅動程式能監控並操縱其他程序的行為,包括屬於資安解決方案的程序。

客戶端保護機制

ABYSSWORKER 的核心功能之一是保護客戶端程序的能力,在 MEDUSA 勒索軟體攻擊鏈的背景下,這很可能是勒索軟體程序本身或相關元件。這種保護機制在驅動程式的裝置被開啟時觸發,會呼叫IRP_MJ_CREATE 主要功能 Callback [1] 。在此 Callback 中,驅動程式首先從當前核心執行緒中取得呼叫程序的程序識別碼(PID),因為該 Callback 是在客戶端程序的環境中執行 [1] 。在將此 PID 加入內部受保護程序清單之前,ABYSSWORKER 會徹底搜尋其他運行中程序可能持有的任何現有客戶端程序控制代碼 [1] 。為實現這一點,驅動程式採用暴力搜尋方式,逐一檢查所有可能的 PID,避免依賴可能被資安產品監控的標準 Windows API 呼叫 [1] 。對於每個識別出的程序,它進一步逐一檢查所有開啟的控制代碼,同樣使用暴力搜尋方法,檢查底層物件是否對應於客戶端程序 [1] 。若找到匹配的控制代碼,ABYSSWORKER 會使用特定值 0x8bb 剝奪其存取權限 [1] 。此舉動可能目的為防止其他程序,尤其是資安軟體,與受保護的客戶端程序互動或監控。最後,在確保無外部控制代碼干擾後,驅動程式將客戶端程序的 PID 加入全局受保護程序清單 [1] 。此清單隨後可能被驅動程式的其他部分用來識別應受保護或其攻擊應被監控並可能被阻擋的程序。使用暴力搜尋技術進行 PID 和控制代碼列舉(Handle enumeration),而非記載的 API,顯示出故意隱秘操作並規避資安解決方案偵測的意圖,這些方案可能監控與程序和控制代碼管理相關的標準系統呼叫。

DeviceIoControl 處理程序

ABYSSWORKER 驅動程式註冊其主要功能的 Callback ,並主動監聽傳入的裝置 I/O 控制請求 [1] 。這些請求被發送到驅動程式的裝置物件,根據接收到的 IO 控制碼分派到特定處理程序,有效提供驅動程式各種功能的命令介面。支援的 IO 控制碼範圍揭示了此惡意軟體的廣泛能力。

表 2:DeviceIoControl 處理程序碼與功能

名稱

控制碼

啟用惡意軟體

0x222080

複製檔案

0x222184

依模組名稱移除 Callback 與裝置

0x222400

依模組名稱替換驅動程式主要功能

0x222404

依模組名稱終結系統執行緒

0x222408

分離迷你過濾裝置

0x222440

刪除檔案

0x222180

停用惡意軟體

0x222084

載入 API

0x2220c0

減少所有驅動程式的參考計數

0x222100

減少所有裝置的參考計數

0x222104

終止程序

0x222144

終止執行緒

0x222140

移除 Ntfs 與 Pnp 驅動程式主要功能的 Hook

0x222444

重新啟動

0x222664

如原始分析所示,驅動程式的核心功能在載入時並非立即啟動。它需要透過 0x222080 IO 控制碼傳送特定密碼 7N6bCAoECbItsUR5-h4Rp2nkQxybfKb0F-wgbJGHGh20pWUuN1-ZxfXdiOYps6HTp0X 給驅動程式,才能啟用其惡意能力 [1] 。這個密碼作為守門員,可能由相關勒索軟體或其元件控制,在攻擊的特定階段啟動驅動程式的 EDR 終結功能。0x2220c0 處理程序至關重要,因為它負責載入許多其他處理程序使用的必要核心 API [1] 。此處理程序有兩種模式:完整模式需使用者提供函數名稱與其相對虛擬位址(RVA)的映射結構; 部分模式則由驅動程式自行嘗試定位部分 API [1] 。若未提供完整映射,部分處理程序將無法正常運作。API 載入過程包含從不同核心物件類型中取出「 Callback 清單」 [1] 。這些清單隨後被負責移除特定模組註冊通知 Callback 的處理程序使用,這是關閉 EDR 監控的關鍵技術 [1] 。驅動程式特別針對 PsSetCreateProcessNotifyRoutinePsSetLoadImageNotifyRoutinePsSetCreateThreadNotifyRoutineObRegisterCallbacksCmRegisterCallback 等 API 註冊的 Callback ,這些都是 EDR 解決方案常用來監控關鍵系統攻擊的工具 [1] 。此外,驅動程式還能移除 NTFS 與 PnP 驅動程式主要功能的Hook,進一步阻礙 EDR 對檔案系統與裝置相關攻擊的監控 [1] 。擁有依模組名稱終止程序與執行緒,以及分離迷你過濾裝置的處理程序,提供直接機制來關閉並干擾 EDR 軟體 [1] 。最後,包含重新啟動處理程序,凸顯了驅動程式在受感染系統上執行劇烈動作的潛力。

目標 EDR 廠商

ABYSSWORKER 的主要目的是針對並關閉各種 EDR 廠商,讓相關的 MEDUSA 勒索軟體能不受干擾地執行 [1] 。雖然 Elastic Security Labs 報告特別提到該驅動程式模仿 CrowdStrike Falcon 的合法驅動程式,但並未明確列出所有被針對關閉的 EDR 廠商 [1] 。然而,ABYSSWORKER 採用的技術,例如移除特定核心通知 Callback (PsSetCreateProcessNotifyRoutinePsSetLoadImageNotifyRoutinePsSetCreateThreadNotifyRoutineObRegisterCallbacksCmRegisterCallback),已知被多種 EDR 解決方案用於監控系統行為 [1] 。因此,可以推斷 ABYSSWORKER 的能力可能對依賴這些常見核心層級監控機制的多種 EDR 產品有效。報告還在針對 Callback 的背景下提到其他 EDR 終結工具如 EDRSandblast 和 RealBlindingEDR,顯示 ABYSSWORKER 屬於使用類似技術規避端點資安的更廣泛惡意軟體類別 [1] 。雖然模仿 CrowdStrike 驅動程式可能是混入合法程序的策略,但移除基本核心 Callback 的核心功能顯示其採取更通用的方法來使端點資安無效,而非僅針對單一廠商。

影響

像 ABYSSWORKER 這樣的 EDR 終結驅動程式的出現與日益增加的使用,代表網路威脅格局的重大轉變 [3] 。這些工具直接削弱了 Endpoint detection and response解決方案的有效性,這些方案常被視為對抗進階威脅的最後防線 [3] 。透過成功無效化 EDR 能力,攻擊者獲得關鍵優勢,讓勒索軟體及其他惡意 Payload能在受感染系統上無阻礙地執行 [3] 。這種趨勢因 Bring Your Own Vulnerable Driver(BYOVD,自帶有漏洞驅動程式)技術的日益流行而加劇,威脅行為者利用已簽署但有漏洞的驅動程式獲取核心層級存取權並關閉資安措施 [3] 。雖然 ABYSSWORKER 是客製化驅動程式,但其使用被竊取並撤銷的憑證與 BYOVD 原則一致,即利用簽署的驅動程式繞過初步資安檢查並獲得特權存取 [3] 。一旦部署像 ABYSSWORKER 這樣的 EDR 終結工具,攻擊者可執行一系列惡意行為,包括終止資安產品、繞過防篡改保護,甚至 Dump 特權程序記憶體以竊取憑證 [3] 。這些工具在勒索軟體攻擊中頻繁使用,凸顯了一個危險趨勢,攻擊者積極針對並無效化資安控制,使傳統防禦策略效果降低 [4] 。ABYSSWORKER 在關閉 EDR 系統方面的成功,可能大幅提升 MEDUSA 勒索軟體攻擊的效果,讓其進行資料加密與外洩,導致目標組織的重大營運中斷與潛在財務損失 [9] 。ABYSSWORKER 在不同攻擊中的重複使用進一步凸顯其有效性及其對各組織與產業的潛在廣泛影響。

緩解措施

雖然 ABYSSWORKER 構成複雜的威脅,但了解其技術特徵可為有效的偵測與緩解策略提供資訊。Elastic Security Labs 分析指出,該驅動程式採用的混淆技術相對簡單,可能透過程式碼的靜態分析辨識 [1] 。因此,根據這些獨特程式碼模式開發特定簽章有助於偵測 ABYSSWORKER 的存在。此外,監控名為 smuol.sys 的驅動程式檔案,特別是若其使用已知被竊取並撤銷的憑證指紋簽署,是關鍵的偵測措施 [1] 。資安解決方案也應設定為標記任何試圖載入使用撤銷憑證簽署的驅動程式,因為這是潛在惡意攻擊的強烈指標 [1] 。ABYSSWORKER 在初始化過程中建立的特定裝置路徑(\\device\\czx9umpTReqbOOKF)與符號連結(\\??\\fqg0Et4KlNt4s1JT)也能作為獨特的偵測指標 [1] 。監控核心層級攻擊中 ABYSSWORKER 用於與其功能互動的特定 IO 控制碼,也能揭示其在系統上的存在與攻擊 [1]

除了這些特定指標外,減緩勒索軟體及類似威脅的一般最佳實踐(Best practice)仍至關重要。組織應確保所有作業系統、軟體和韌體保持最新,安裝最新的資安更新程式,因為未更新的漏洞常被用於初步存取(Initial access) [10] 。實施網路分段有助於限制攻擊者的橫向移動 (Lateral movement) 並降低成功勒索軟體感染的影響 [10] 。過濾網路流量以阻擋來自未知或不受信任來源對遠端服務的存取,也有助於防止初步入侵與命令控制通信 [10] 。關閉不必要的命令列與Script活動及權限,能限制勒索軟體及其相關惡意軟體常使用的 living-off-the-land 技術的效果 [12] 。實施應用程式控制規則有助於防止未經授權且可能惡意的軟體執行 [13] 。現代 EDR 解決方案常包含專為偵測與阻擋有漏洞或惡意驅動程式使用的功能,這些功能應啟用 [14] 。鑑於 ABYSSWORKER 主要目的在關閉 EDR,僅依賴傳統簽章式偵測不足。採用行為分析與異常偵測能力有助於辨識可能顯示 EDR 終結工具或其他惡意軟體存在的異常攻擊 [9] 。最後,根據持續驗證限制對端點的存取,能限制橫向移動並進一步減輕受感染系統的潛在損害 [15] 。ABYSSWORKER 使用簽署但可能被撤銷的憑證,強調不應僅依賴數位簽章建立信任,需在端點資安解決方案中實施更嚴格的驅動程式合法性檢查。

結論

ABYSSWORKER 是網路犯罪分子,特別是包含勒索軟體操作者,日益複雜策略的顯著範例。這個專為關閉 EDR 系統並促進 MEDUSA 勒索軟體部署而設計的客製化驅動程式,清楚展現其專注於無效化端點資安控制 [1] 。該驅動程式使用被竊取並撤銷的數位憑證,結合多種核心層級技術來針對並關閉 EDR 監控能力,凸顯其背後威脅行為者的進階本質 [1] 。透過有效移除關鍵 EDR Callback 、終止資安相關程序並操縱系統物件,ABYSSWORKER 對依賴端點資安解決方案作為主要防禦手段的組織構成重大風險 [1] 。了解 ABYSSWORKER 的複雜技術細節,包括其檔案名稱、使用的被竊憑證指紋及其在 Windows 核心中的運作機制,對開發有效的偵測與緩解策略至關重要 [1] 。像 ABYSSWORKER 這樣的 EDR 終結惡意軟體的出現與持續使用,凸顯了網路威脅格局中一個令人擔憂的趨勢。攻擊者日益優先考慮在發動主要攻擊前無效化資安控制,這需要主動轉向更強大且多層次的防禦策略,超越傳統簽章式偵測。組織必須採用行為分析、異常偵測及全面的端點強化措施,以有效對抗這類複雜威脅。資安社群的合作努力,分享威脅情報與深入分析,如不同資安廠商獨立發現 ABYSSWORKER 所示,在對抗這些不斷演變且危險的惡意軟體形式中仍至關重要。

引用的著作

  1. Shedding light on the ABYSSWORKER driver — Elastic Security Labs, retrieved on March 21, 2025, https://www.elastic.co/security-labs/abyssworker
  2. Medusa Ransomware Uses Malicious Driver to Disable Anti-Malware with Stolen Certificates - The Hacker News, retrieved on March 21, 2025, https://thehackernews.com/2025/03/medusa-ransomware-uses-malicious-driver.html
  3. Emerging Threat: EDR Killers After All, EDRs Are Not Invincible | Logpoint, retrieved on March 21, 2025, https://www.logpoint.com/wp-content/uploads/2025/01/etpr-emerging-threat-edr-killers-after-all-edrs-are-not-invincible.pdf
  4. Protection Highlight: Impairing Defense using AV/EDR Killers - Broadcom Inc., retrieved on March 21, 2025, https://www.broadcom.com/support/security-center/protection-bulletin/protection-highlight-impairing-defense-using-av-edr-killers
  5. CrowdStrike Falcon Prevents Multiple Vulnerable Driver Attacks in Real-World Intrusion, retrieved on March 21, 2025, https://www.crowdstrike.com/en-us/blog/falcon-prevents-vulnerable-driver-attacks-real-world-intrusion/
  6. Antivirus and EDR Bypass Techniques Explained - Vaadata, retrieved on March 21, 2025, https://www.vaadata.com/blog/antivirus-and-edr-bypass-techniques/
  7. CISA Reveals How 12 Ransomware Gangs are Bypassing EDRs - Lumu Technologies, retrieved on March 21, 2025, https://lumu.io/blog/cisa-reveals-ransomware-gangs-bypassing-edrs/
  8. Dethroning Ransomware: Prominent Attacks Stopped by Morphisec, retrieved on March 21, 2025, https://www.morphisec.com/blog/dethroning-ransomware-prominent-attacks-stopped-by-morphisec/
  9. Silent Threat: Red Team Tool EDRSilencer Disrupting Endpoint Security Solutions | Trend Micro (US), retrieved on March 21, 2025, https://www.trendmicro.com/en_us/research/24/j/edrsilencer-disrupting-endpoint-security-solutions.html
  10. CISA and Partners Release Cybersecurity Advisory on Medusa Ransomware, retrieved on March 21, 2025, https://www.cisa.gov/news-events/alerts/2025/03/12/cisa-and-partners-release-cybersecurity-advisory-medusa-ransomware
  11. Breaking Down Medusa Ransomware - Armis, retrieved on March 21, 2025, https://www.armis.com/blog/breaking-down-medusa-ransomware/
  12. Medusa ransomware slams critical infrastructure organizations | Cybersecurity Dive, retrieved on March 21, 2025, https://www.cybersecuritydive.com/news/medusa-ransomware-slams-critical-infrastructure-organizations/742428/
  13. Best practices for stopping malware and other threats - Broadcom TechDocs, retrieved on March 21, 2025, https://techdocs.broadcom.com/us/en/symantec-security-software/endpoint-security-and-management/endpoint-protection/all/Using-policies-to-manage-security/best-practices-for-stopping-malware-and-other-threats.html
  14. Five EDR Prevention Policy Settings That Should Always Be Enabled - Prelude Security, retrieved on March 21, 2025, https://www.preludesecurity.com/blog/edr-prevention-policies
  15. How Ransomhub Ransomware Uses EDRKillShifter to Disable EDR and Antivirus Protections | Trend Micro (US), retrieved on March 21, 2025, https://www.trendmicro.com/en_us/research/24/i/how-ransomhub-ransomware-uses-edrkillshifter-to-disable-edr-and-.html