- 中國威脅小組濫用了脆弱的看門狗反對軟件驅動程序,以禁用防病毒軟件和EDR工具
- 攻擊者還利用Zemana反惡意軟件驅動程序(ZAM.EXE),以在窗戶上更廣泛的兼容性
- 研究人員正在敦促IT團隊更新塊列,使用Yara規則並監視可疑活動
已經看到中國黑客狐狸濫用了先前信任的Windows驅動程序,以禁用防病毒保護並在目標設備上部署惡意軟件。
在古老的“帶上自己的脆弱駕駛員”攻擊中被濫用的最新驅動程序稱為看門狗反對軟件,通常是同名安全解決方案的一部分。
它帶有文件名AMSDK.SYS,版本1.0.600是脆弱的。發現這個問題的檢查點研究(CPR)的安全專家說,該駕駛員以前沒有被列為有問題,而是用於對東亞實體的攻擊。
不斷發展的惡意軟件
在攻擊中,威脅參與者用駕駛員終止了防病毒軟件, EDR工具,之後他們部署了Valleyrat。
這款惡意軟件可作為可用於網絡高度,任意命令執行以及數據剝落的後門。
此外,CPR說,銀狐使用了一個單獨的驅動程序,稱為zam.exe(來自Zemana Anti-Malware解決方案),以保持在不同系統之間的兼容,包括Windows 7,Windows 10和Windows 11。
研究人員並沒有首先討論受害者如何最終出現惡意軟件,但是可以肯定地假設一些網絡釣魚,否則社會工程學在這裡發揮作用。騙子使用位於中國的基礎設施來容納包括反分析特徵,持久機制的獨立裝載機二進製文件,這兩個驅動程序都是上述驅動因素,應該終止的安全過程的硬編碼清單,以及Valleyrat。
Check Point Research說,從看門狗反疑慮開始的原因很快就演變為包括其他版本和類型的駕駛員,所有這些都避免了任何檢測。
WatchDog發布了一個更新,修復了本地特權缺陷,但是任意過程終止仍然是可能的。因此,IT團隊應確保監視Microsoft的驅動程序放置列表,使用Yara檢測規則,並監視其網絡以獲取可疑的流量和/或其他活動。
您可能還喜歡
#新的惡意軟件利用受信任的Windows驅動程序來解決安全系統 #這是保持安全的方法
