2500 多种 Truesight.sys 驱动程序变体被利用来绕过 EDR 并部署 HiddenGh0st RAT

Check Point 周一发布的一份新报告显示，一种大规模恶意软件活动被发现利用与 Adlice 产品套件相关的易受攻击的 Windows 驱动程序，以规避检测并传递 Gh0st RAT 恶意软件。

“为了进一步规避检测，攻击者故意通过修改特定的 PE 部分生成了 2.0.2 驱动程序的多个变体（具有不同的哈希值），同时保持签名有效，” Check Point 表示。

这家网络安全公司称，此次恶意活动涉及数千个第一阶段恶意样本，这些样本被用来部署一个程序，该程序能够通过所谓的自带易受攻击驱动程序（BYOVD）攻击来终止终端检测与响应（EDR）软件。

在 VirusTotal 平台上，已识别出多达 2500 种不同的旧版 2.0.2 版本的易受攻击的 RogueKiller 反rootkit 驱动程序 truesight.sys 变体，尽管实际数量可能更高。EDR 杀手模块于 2024 年 6 月首次被检测和记录。

Truesight 驱动程序存在的问题是，影响 3.4.0 以下所有版本的任意进程终止漏洞，此前已被利用来设计概念验证（PoC）漏洞利用程序，如 Darkside 和 TrueSightKiller，这些程序自 2023 年 11 月以来就已公开。

2024 年 3 月，SonicWall 公布了一种名为 DBatLoader 的加载器的详细信息，该加载器被发现利用 truesight.sys 驱动程序来终止安全解决方案，然后再传递 Remcos RAT 恶意软件。

有证据表明，此次攻击活动可能是由一个名为 Silver Fox APT 的威胁行为者所为，因为在执行链和使用的技术上存在一定程度的重叠，包括“感染向量、执行链、初始阶段样本的相似性以及历史目标模式”。

此外，约 75% 的受害者位于中国，其余受害者主要集中在亚洲其他地区，包括新加坡和台湾。

攻击序列涉及分发通常伪装成合法应用程序的第一阶段工具，这些工具通过提供奢侈品交易的欺骗性网站和流行消息应用程序（如 Telegram）中的欺诈渠道进行传播。

这些样本充当下载程序，释放旧版 Truesight 驱动程序以及模仿常见文件类型（如 PNG、JPG 和 GIF）的下一阶段有效载荷。第二阶段恶意软件随后检索另一个恶意软件，该恶意软件反过来加载 EDR 杀手模块和 Gh0st RAT 恶意软件。

“虽然旧版 Truesight 驱动程序（2.0.2 版本）的变体通常由初始阶段样本下载和安装，但如果系统上尚未安装该驱动程序，它们也可以直接由 EDR/AV 杀手模块部署，” Check Point 解释道。

“这表明，尽管 EDR/AV 杀手模块已完全集成到此次活动中，但它能够独立于早期阶段运行。”

该模块采用 BYOVD 技术，利用易受攻击的驱动程序来终止与某些安全软件相关的进程。通过这种方式，攻击能够绕过微软易受攻击驱动程序阻止列表，这是一种基于哈希值的 Windows 机制，旨在保护系统免受已知易受攻击驱动程序的威胁。

攻击最终部署了一种名为 HiddenGh0st 的 Gh0st RAT 变体，该变体旨在远程控制被攻陷的系统，为攻击者提供进行数据盗窃、监视和系统操纵的途径。

截至 2024 年 12 月 17 日，微软已更新驱动程序阻止列表，将相关驱动程序纳入其中，有效阻止了利用该驱动程序的攻击向量。

“通过修改驱动程序的特定部分，同时保留其数字签名，攻击者绕过了常见的检测方法，包括最新的微软易受攻击驱动程序阻止列表和 LOLDrivers 检测机制，使他们能够长时间躲避检测，” Check Point 表示。

“利用任意进程终止漏洞，使 EDR/AV 杀手模块能够针对和禁用与安全解决方案相关联的进程，进一步增强了此次攻击活动的隐蔽性。”

消息来源：The Hacker News； 

本文由 HackerNews.cc 翻译整理，封面来源于网络；