追逐银狐：内核阴影下的猫鼠游戏

核心发现

Check Point Research（CPR）发现Silver Fox APT组织正在进行的野外攻击活动，涉及滥用一个先前未知的易受攻击驱动程序amsdk.sys（WatchDog Antimalware，版本1.0.600）。该驱动程序基于Zemana反恶意软件SDK构建，具有微软签名，未列入微软易受攻击驱动程序阻止列表，也未被LOLDrivers等社区项目检测到。

攻击者利用这个未知的易受攻击驱动程序终止与现代安全解决方案相关的受保护进程（PP/PPL），从而在完全更新的Windows 10和11系统上实现EDR/AV规避，而不会触发基于签名的防御。

采用双驱动策略确保跨Windows版本的兼容性：针对传统系统使用已知易受攻击的Zemana驱动程序，针对现代环境使用未检测到的WatchDog驱动程序。两者都嵌入在一个独立的加载器中，该加载器还包括反分析层和ValleyRAT下载器。

在CPR披露后，供应商发布了修补后的驱动程序（wamsdk.sys，版本1.1.100）。尽管我们及时报告该补丁未完全缓解任意进程终止问题，但攻击者迅速调整并将修补后驱动程序的修改版本纳入持续攻击活动中。通过在未认证时间戳字段中翻转单个字节，他们保留了驱动程序的有效微软签名，同时生成新的文件哈希，有效绕过基于哈希的阻止列表。这种微妙而高效的规避技术反映了早期活动中看到的模式。

所有观察到的样本中交付的最终有效负载都是ValleyRAT，这是一个模块化的远程访问木马，归属于Silver Fox APT，其基础设施位于中国。

此活动突显了越来越多地武器化签名但易受攻击的驱动程序以绕过端点保护和规避静态检测的趋势。

引言

尽管微软Windows通过受保护进程（PP/PPL）和增强的驱动程序验证等功能稳步加强其安全模型，但威胁行为者通过转变策略来利用较低级别的弱点来适应，这些弱点可以绕过这些保护而不会触发防御。这些技术中最有效的是滥用易受攻击的内核模式驱动程序，特别是那些能够任意终止进程的驱动程序。这些驱动程序在被利用时可以禁用或中和端点保护产品，为恶意软件部署和持久性创造清晰路径。

在本出版物中，我们介绍了最近检测到的野外（ITW）活动的研究结果，该活动利用了这种基于驱动程序的规避技术。此操作的核心是Silver Fox APT，它使用一个未知易受攻击的WatchDog Antimalware驱动程序（amsdk.sys，版本1.0.600）来终止与安全解决方案相关的进程，并促进ValleyRAT后门的交付。该驱动程序尽管基于与先前已知易受攻击组件相同的SDK（Zemana反恶意软件SDK），但未被分类为易受攻击，由微软签名，并且未被微软的易受攻击驱动程序阻止列表或社区驱动的源（如LOLDrivers数据库）检测到。

我们的研究建立在我们2024年发布的易受攻击驱动程序检测方法之上，当时我们识别了数千个有风险的驱动程序，包括安全解决方案中使用的驱动程序。该研究中先前报告的一个驱动程序，WatchDog Antimalware驱动程序，现已确认在此活动中被野外滥用。攻击者使用此驱动程序在交付最终有效负载之前禁用核心EDR（端点检测和响应）和反病毒保护：ValleyRAT，一个模块化后门，归属于Silver Fox APT，其基础设施位于中国。

该活动的架构围绕一体化加载器样本构建，这些样本将反分析功能、嵌入式驱动程序、EDR/AV杀手逻辑和ValleyRAT下载器组合到单个二进制文件中。这些加载器定制为在传统和现代系统（Windows 7 – Windows 10/11）上运行，使用两个不同的驱动程序确保兼容性。虽然其中一个驱动程序——一个传统的基于Zemana的驱动程序（ZAM.exe）——已经已知并被阻止，但在现代环境中使用的第二个驱动程序先前未知，因此未被检测到。

我们提供了对观察到的活动的全面分析，详细说明了攻击者如何：

• 利用易受攻击的驱动程序终止受保护进程并绕过操作系统级保护。
• 使用复杂的加载器构建交付多阶段有效负载。
• 利用微软签名的驱动程序规避基于信任的检测机制。
• 修改驱动程序的修补版本以避免基于哈希的检测，而不破坏数字签名有效性。
• 最终交付ValleyRAT作为最终有效负载，提供远程访问和控制能力。

此外，我们讨论了签名但可利用驱动程序的影响，以及攻击者利用先前修补组件的修改版本所带来的更广泛风险。我们向微软MSRC和Watchdog公司报告了所有相关发现，导致了部分缓解，但活动继续演变。

背景与关键发现

2025年5月下旬，我们观察到一个归属于Silver Fox APT组织的ITW攻击，该攻击针对Windows系统，使用定制加载器滥用内核驱动程序终止安全相关进程。该活动标志着从仅使用已知易受攻击驱动程序转向部署先前未分类、签名的易受攻击驱动程序的重要转变，该驱动程序绕过了传统检测机制。

滥用集中在两个驱动程序上，两者都源自Zemana反恶意软件SDK。第一个，高级恶意软件保护驱动程序（ZAM.exe，版本3.0.0.000），长期以来因其弱点而闻名，并被微软易受攻击驱动程序阻止列表阻止。其在活动中的包含是为了兼容旧系统，如Windows 7。

更关键的是，攻击者部署了WatchDog Antimalware驱动程序（amsdk.sys，版本1.0.600），尽管共享相同的SDK基础，但未被公开知悉易受攻击，未在任何阻止列表上，并由微软签名——使其能够在完全更新的Windows 10/11系统上加载。

这些驱动程序促进了任意进程终止，包括在PP/PPL保护下运行的进程，这使得活动的定制EDR/AV杀手逻辑能够禁用广泛的安全解决方案。

我们分析的每个恶意软件样本都是一个独立的一体化加载器，由以下组成：

• 带有反分析和持久性设置的加载器存根。
• 两个嵌入式易受攻击驱动程序。
• 基于硬编码列表终止安全进程的定制逻辑。
• 配置为获取和安装最终有效负载的ValleyRAT下载器模块。

在短暂的监控窗口中，我们观察到活动演变为包含这些加载器和驱动程序组合的多个变体。一些样本集成了仍然未知易受攻击的新驱动程序，表明正在进行的努力以规避检测和绕过更新的防御。

在我们披露后，Watchdog公司发布了WatchDog Antimalware驱动程序的修补版本（wamsdk.sys，版本1.1.100）。虽然此补丁缓解了本地权限提升（LPE）向量，但更新的驱动程序仍然允许任意进程终止，包括受保护进程，因此未能完全关闭原始攻击向量。我们向供应商披露了此剩余问题。

不久之后，我们识别了一个新的样本，滥用修补后驱动程序的修改版本，再次归属于同一APT组织。攻击者改变了驱动程序微软Authenticode签名中未认证时间戳字段中的单个字节。因为此字段未覆盖在主签名摘要中，驱动程序仍然有效签名并受Windows信任，同时呈现新的文件哈希，因此绕过基于哈希的阻止列表。这种微妙而强大的规避技术反映了我们早期关于大规模遗留驱动程序利用的出版物中看到的模式。

所有样本中的最终有效负载是ValleyRAT，也称为“Winos”。此RAT提供全套功能，用于远程监视、命令执行和数据渗出。其使用，加上托管在中国的基础设施和与东亚供应商对齐的目标安全进程列表，确认了活动归属于Silver Fox APT。

此活动展示了威胁行为者如何超越已知弱点，武器化未知的签名驱动程序——许多防御机制的盲点。利用微软签名的、先前未分类的易受攻击驱动程序，结合签名操纵等规避技术，代表了一种复杂且不断演变的威胁。尽管供应商有一些缓解措施，但攻击者快速适应的能力——通过使用更改但有效签名的驱动程序变体证明——突出了对主动的、基于行为的检测方法和更深入审查签名内核模式驱动程序的需求。

基础设施与受害者分析

攻击最后阶段使用的所有检测到的命令和控制（C2）服务器都托管在中国境内，通常利用公共云或Web服务。

受害者分析表明全球分布的目标模式。在大多数观察到的情况下，恶意软件通过包含单个可执行文件（.exe）或动态链接库（.dll）的.rar存档交付，该库通过合法应用程序进行侧加载。确切的感染向量仍未识别。

如附录A – 要终止的进程列表所述，恶意软件配置为终止与中国常用的安全和反病毒解决方案相关的进程。结合C2基础设施的地理位置，这强烈表明主要目标位于亚洲，特别是中国境内。

技术分析：一体化加载器

我们分析的所有样本都部署为独立的一体化加载器。加载器由几个部分组成，每个部分有特定角色：

• 加载器存根 – 实现反分析技术并设置持久性。
• 两个嵌入式易受攻击驱动程序 – 被滥用于任意进程终止。
• EDR/AV杀手逻辑 – 目标并禁用安全进程。
• ValleyRAT下载器模块和配置 – 获取并执行最终有效负载。

在大多数情况下（约75%的检测样本），这些加载器未打包。然而，攻击者偶尔会使用常见公共打包程序（如UPX）的未更改版本。

一个这样的例子是一个64位、UPX打包的PE，内部名称为Runtime Broker。样本保留其原始编译时间戳，2025-06-03 06:38:30 UTC，大约在我们首次在野外观察到该活动两周后。

图1：一体化独立加载器 – UPX打包，64位PE。

反分析技术

执行时，样本执行一些常见的反分析检查，如反VM（检测虚拟环境）、反沙箱（检测沙箱内执行）、虚拟机监控程序检测等。如果任何这些检查失败，执行中止，并显示虚假系统错误消息。

图2：反VM – CPU供应商检查。

虚拟环境和虚拟机监控程序检测例程包括定义的排除项，如果计算机名称设置为以下任何值，则允许继续执行：DESKTOP-T3N3M3Q、DESKTOP-03AMF90或WIN-VMHH95J6C26。我们相信此排除旨在防止在攻击者恶意软件开发期间使用的系统上执行中止。

我们观察到一些检测到的样本包括使用公共服务http[://]ip-api[.]com/json的额外反分析检查。此服务用于检索受感染机器公共IP地址的信息，包括ISP（互联网服务提供商）和ORG（组织）字段。

如果ISP或ORG值与预定义列表（如下表所示）中的任何条目匹配，则进程终止，并显示虚假错误消息“程序不支持您的配置。”

检测到的ISP + ORG Microsoft Corporation Beijing Qihu Technology Company Limited Google LLC Google Cloud (asia-northeast1)

持久性设置

为了建立持久性，加载器在系统路径C:\Program Files\RunTime下创建一个名为RunTime的文件夹。一体化加载器样本和适当版本的易受攻击驱动程序——根据受感染系统的Windows OS版本选择——被放入此文件夹，文件名分别为RuntimeBroker.exe和Amsdk_Service.sys。

图3：持久性设置 – 将文件放入创建的“RunTime”文件夹。

随后，创建特定服务以确保丢弃的文件在系统启动时自动执行。名为Termaintor的服务负责维护先前丢弃的一体化加载器副本（RuntimeBroker.exe）的持久性。

图4：创建“Termaintor”服务。

第二个创建的服务Amsdk_Service，只是一个配置的注册表键，需要加载丢弃的易受攻击驱动程序。

我们相信名称Termaintor是故意的拼写错误，也可能表明EDR/AV杀手逻辑受到公开可用PoC的启发——一个名为“Terminator”的工具，滥用已知易受攻击的Zemana反恶意软件驱动程序。

嵌入式有效负载

虽然分析样本中大多数全局定义的字符串只是Base64编码，但嵌入式有效负载使用十六进制编码和Base64的组合。这些有效负载直接作为编码字节字符串嵌入到二进制文件的.rdata部分中。

图5：编码的嵌入式有效负载。

两个编码的有效负载是EDR/AV杀手逻辑使用的不同易受攻击驱动程序。根据检测到的Windows版本，只有一个部署在受感染系统上。

较旧的驱动程序是一个64位、有效签名的高级恶意软件保护驱动程序ZAM.exe，版本3.0.0.000。此驱动程序已知易受攻击，并被LOLDrivers和微软易受攻击驱动程序阻止列表检测到。仅当受感染系统运行旧版本Windows（例如Windows 7）时使用。

较新的驱动程序是一个64位、有效签名的WatchDog Antimalware驱动程序amsdk.sys，版本1.0.600。此驱动程序先前未知易受攻击，并绕过LOLDrivers和微软的阻止列表。仅当受感染系统运行现代版本Windows（例如Windows 10或11）时使用。

最终嵌入式有效负载是编码的ValleyRAT下载器模块，包括其硬编码配置。

ValleyRAT下载器

如前所述，ValleyRAT下载器阶段以结合Base64和十六进制字符串的编码格式嵌入在一体化加载器中。解码后，得到一个64位、UPX打包的DLL，转换为shellcode。此shellcode包括一个负责内存反射加载的存根，并注入到已运行的进程中，通常是svchost.exe的实例。

DLL的内部名称上线模块.dll（翻译为“Online module.dll”）保留在导出目录中，以及三个导出函数：load、run和第二个run。

图6：ValleyRAT下载器DLL的导出目录。

导出函数提供了执行和加载DLL的替代入口点，例如使用自定义提供的配置而不是硬编码的配置，同时最终触发与DllMain函数相同的核心逻辑。

图7：ValleyRAT下载器DLL的导出函数。

C2服务器在嵌入式配置中定义。值得注意的是，IP地址和端口都以反向顺序存储。例如：156[.]234[.]58[.]194:52110和156[.]234[.]58[.]194:52111。

图8：ValleyRAT下载器 – 嵌入式配置。

ValleyRAT下载器与C2服务器之间的通信使用简单XOR密码加密，密钥为363636003797e4383a36。解密流量后，我们发现下载的内容包括最终有效负载：ValleyRAT后门（也称为Winos）。

图9：ValleyRAT下载器 – 解密的C2流量。

技术分析：EDR/AV杀手

EDR/AV杀手例程直接嵌入在一体化加载器中。

最初，根据受感染系统的Windows版本，两个嵌入式易受攻击驱动程序中的一个被丢弃。由于两个驱动程序都基于Zemana反恶意软件SDK，利用逻辑保持相同，即滥用其终止任意进程的能力。

下图显示了负责创建加载易受攻击驱动程序所需服务的例程。具体来说，服务Amsdk_Service（类型SERVICE_KERNEL_DRIVER）使用Windows API函数RegCreateKeyW和RegSetValueExW创建，随后调用NT API NtLoadDriver以启动驱动程序加载过程。

图10：易受攻击驱动程序加载过程。

一旦驱动程序加载，其创建的设备amsdk被打开以启用与驱动程序的通信，稍后在主EDR/AV杀手例程（KillEDRMain函数）中使用。

图11：打开被滥用驱动程序的“amsdk”设备。

核心EDR/AV杀手逻辑，在KillEDRMain函数中实现，迭代Base64编码的目标进程列表以终止。此列表定义为TERMINATE_PROCESS_LIST，包含192个唯一进程名称（见附录A – 要终止的进程列表）。当发现任何列出的进程在系统上运行时，通过发出IOCTL序列0x80002010（IOCTL_REGISTER_PROCESS）后跟0x80002048（IOCTL_TERMINATE_PROCESS）终止，通过Windows API函数DeviceIoControl直接与驱动程序设备通信。

图12：EDR/AV杀手逻辑 – 进程终止。

我们在以下部分提供了此活动中滥用的驱动程序的进一步细节，包括漏洞描述、其影响和示例PoC代码。

技术分析：新易受攻击驱动程序

虽然前一节描述的一体化加载器可以滥用两个版本的易受攻击驱动程序（取决于目标Windows系统版本），但两者都基于Zemana反恶意软件SDK。在本节中，我们将重点转向先前未知易受攻击的一个，尽管其利用和影响与已知变体几乎相同。

如前所述，被滥用的驱动程序WatchDog Antimalware驱动程序版本1.0.600，是一个64位、有效签名的Windows内核设备驱动程序。它仍被积极使用，最初是Watchdog Anti-Malware产品的一部分。

图13：易受攻击的有效签名WatchDog Antimalware驱动程序。

尽管内部名称是amsdk.sys，但原始PDB路径仍然引用zam64.pdb，表明重用了Zemana反恶意软件SDK。

图14：WatchDog Antimalware驱动程序的PDB路径。

我们通过详细检查其代码确认WatchDog Antimalware驱动程序确实基于Zemana反恶意软件SDK。代码的某些部分（不仅仅是编译PE的元数据）被WatchDog Antimalware开发人员更改，特别是那些负责驱动程序设备创建的部分。这些更改可能是为了响应影响源自Zemana反恶意软件SDK的驱动程序的众所周知漏洞而进行的。事实上，有公开可用的PoC（超过两年）利用“Zemana”驱动程序作为EDR/AV杀手工具，如Terminator。

由于此驱动程序由微软（Microsoft Windows Hardware Compatibility Publisher）签名，它可以在最新完全更新的Windows 10/11系统上加载和使用。此外，由于WatchDog Antimalware驱动程序的多样性，常见的检测和预防机制，如覆盖“Zemana”驱动程序的LOLDrivers和微软易受攻击驱动程序阻止列表，对WatchDog Antimalware驱动程序无效。因此，其使用没有障碍。

尽管旨在缓解“Zemana”驱动程序中已知漏洞的代码库修改，WatchDog Antimalware驱动程序仍然易受攻击，具有类似影响，包括LPE、无限制原始磁盘读/写访问、任意进程终止等。

漏洞描述

有多个漏洞影响WatchDog Antimalware驱动程序。首先，驱动程序可以终止任意进程而不验证进程是否作为受保护（PP/PPL）运行，这对于反恶意软件服务很常见。因此，它是BYOVD（自带易受攻击驱动程序）技术的方便候选，被滥用为EDR/AV杀手。

BYOVD攻击通常不被视为传统意义上的漏洞，因为攻击者必须首先在目标系统上部署和加载易受攻击驱动程序。这些是需要管理员权限的过程（从管理员到系统的提升不跨越安全边界）。然而，如果驱动程序已经存在于目标系统上（例如，作为Watchdog Anti-Malware产品的一部分），即使非特权用户也可以滥用它来禁用安全解决方案。

更关键的驱动程序漏洞是其从非特权用户跨越安全边界到系统的能力，直接导致LPE（本地权限提升）。根本原因在于负责驱动程序设备创建的例程。

使用了IoCreateDeviceSecure，一个比IoCreateDevice更安全的内核函数，因为它允许指定DACL。通过SDDL字符串D:P(A;;GA;;;SY)(A;;GA;;;BA)在创建的设备上设置了强DACL，仅授予系统和管理员访问权限，但DeviceCharacteristics未明确包括FILE_DEVICE_SECURE_OPEN标志。没有此标志作为设备特征的一部分，强DACL不适用于整个设备命名空间，允许甚至非特权用户与设备通信。

解释 – 设备命名空间和FILE_DEVICE_SECURE_OPEN

每个设备都有自己的命名空间，其中命名空间中的名称是以设备名称开头的路径。对于名为\Device\DeviceName的设备，其命名空间由形式为\Device\DeviceName\anyfile的任何名称组成。缺少FILE_DEVICE_SECURE_OPEN标志可被滥用以获得设备本身的完全访问句柄，甚至由非特权用户，因为强DACL未传播到命名空间，例如，打开\Device\DeviceName\anyfile的句柄将返回设备本身\Device\DeviceName的句柄。

下面，我们可以看到驱动程序的初始化例程，其中设备对象以强DACL创建，但没有FILE_DEVICE_SECURE_OPEN特征标志。

图15：驱动程序初始化 – 设备创建。

转换后的DACL，SDDL字符串的一部分：

图16：转换后的SDDL字符串 – 强DACL。

通过结合对驱动程序设备的无限制访问及其执行特权操作的能力，可以利用所有先前描述的漏洞。WatchDog Antimalware驱动程序的这些能力通过在设备通信期间发出特定IOCTL触发。

最关键的示例总结在下表中：

下面是DispatchDeviceControl回调函数的简化视图，该函数负责处理IOCTL请求并执行相应的例程。

图17：DispatchDeviceControl回调函数 – 处理IOCTL请求。

任意进程终止能力，被威胁行为者在此描述的活动中滥用，通过IOCTL 0x80002048（IOCTL_TERMINATE_PROCESS）触发，直接调用TerminateProcessById函数。值得注意的是，在此操作之前，攻击者控制的进程必须首先通过发出IOCTL 0x80002010（IOCTL_REGISTER_PROCESS）注册自身（被添加到允许列表以绕过缓解）。

TerminateProcessById函数仅当目标进程标记为关键时才阻止终止（以防止系统崩溃）。然而，它不处理受保护进程（PP/PPL），这些通常由反恶意软件服务使用。因此，安全解决方案进程可以自由终止。

图18：TerminateProcessById函数的逻辑。

演示驱动程序任意进程终止能力的PoC相对简单，漏洞利用可以实现如下：

1
2
3
4
5
6
7
8
9

#define IOCTL_REGISTER_PROCESS 0x80002010
#define IOCTL_TERMINATE_PROCESS 0x80002048

// 加载amsdk.sys驱动程序
DWORD pidTerminate = 1337; // 要终止进程的PID，PP/PPL进程可能
DWORD pidRegister = GetCurrentProcessId();
HANDLE hDevice = CreateFileA("\\\\.\\amsdk\\anyfile", GENERIC_READ | GENERIC_WRITE, NULL, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);
DeviceIoControl(hDevice, IOCTL_REGISTER_PROCESS, &pidRegister, sizeof(pidRegister), NULL, 0, NULL, NULL);
DeviceIoControl(hDevice, IOCTL_TERMINATE_PROCESS, &pidTerminate, sizeof(pidTerminate), NULL, 0, NULL, NULL);

WatchDog Antimalware驱动程序中漏洞的核心不复杂，可以轻松解决。指定FILE_DEVICE_SECURE_OPEN设备特征确保强DACL传播到整个设备命名空间，并防止非特权用户访问。额外检查验证要终止的目标进程是否作为受保护（PP/PPL）运行将缓解禁用反恶意软件解决方案的可能性。

最终阶段：ValleyRAT后门

我们分析的所有样本（见附录B – IOCs）都部署了众所周知的ValleyRAT后门（也称为Winos）作为最终阶段。此恶意软件株强烈归属于并关联到众所周知的APT组织Silver Fox。

与ValleyRAT下载器类似，部署的ValleyRAT后门作为64位DLL转换为shellcode交付（DLL前面是负责内存反射加载的存根shellcode）。

此DLL的内部名称登录模块.dll（翻译为“LoginModule.dll”）保留在导出目录中，以及单个导出函数run。此导出函数几乎与DllMain相同，触发相同的主逻辑，可能作为替代执行机制。

图19：导出函数“run” – ValleyRAT后门DLL。

避免检测的第一个执行函数之一是通过Windows API EnumWindows调用的回调。回调函数EnumFunc负责检测具有与分析工具相关窗口标题的进程，主要是那些用于网络分析的工具，常见于沙箱或恶意软件实验室。如果检测到任何定义的窗口标题，执行延迟20秒睡眠，枚举继续直到未检测到任何工具。

图20：ValleyRAT“EnumFunc”回调函数用于避免检测。

相同的例程已在ValleyRAT Insights: Tactics, Techniques, and Detection Methods中描述。由于ValleyRAT后门及其阶段已在几个公开可用报告中彻底分析，此活动中部署版本的详细分析被认为超出本出版物范围。

缓解与修复

如前所述，攻击者滥用两个易受攻击驱动程序终止与安全解决方案相关的进程。虽然较旧的一个——高级恶意软件保护驱动程序ZAM.exe，版本3.0.0.000——被微软易受攻击驱动程序阻止列表分类为已知易受攻击，并被其他常见检测机制（如LOLDrivers项目实现的机制）检测到，但较新的一个——WatchDog Antimalware驱动程序amsdk.sys，版本1.0.600——绕过所有它们。

如我们所见，此活动中使用的一体化加载器定制为支持不仅最新版本的Windows OS（Windows 10/11）而且旧版本（例如Windows 7），意味着即使遗留系统仍然面临风险。

微软易受攻击驱动程序阻止列表使用高级检测机制，超越简单基于哈希的检查，以保护 against 已知易受攻击驱动程序。由于它内置在Windows OS中，我们向MSRC报告了此问题。

由于此检测到的野外活动中的主要风险来自先前未知易受攻击的WatchDog Antimalware驱动程序，我们向其供应商Watchdog公司报告了活动和驱动程序滥用。结果，供应商发布了补丁：WatchDog Antimalware驱动程序wamsdk.sys，版本1.1.100。所有Watchdog产品现在都部署此更新版本的驱动程序。

我们确认新驱动程序通过强制执行强DACL（仅允许SYSTEM和管理员帐户访问）和设置FILE_DEVICE_SECURE_OPEN设备特征来缓解LPE风险，这确保DACL传播到整个设备命名空间。

不幸的是，它未缓解任意进程终止问题。它仍然缺少检查目标进程是否作为受保护（PP/PPL）运行。因此，此驱动程序仍然可以被滥用，类似于描述活动中用于禁用反恶意软件解决方案的方式。我们向供应商报告了此问题。

如预期，我们已经在此活动中检测到一个样本，滥用发布补丁驱动程序的更改变体（WatchDog Antimalware驱动程序wamsdk.sys，版本1.1.100）。

此样本仍然与归属于Silver Fox APT的同一活动关联，再次部署ValleyRAT后门作为最终阶段。我们向Watchdog公司报告了此新发现。

修补后的驱动程序（WatchDog Antimalware驱动程序wamsdk.sys，版本1.1.100）被滥用的方式是攻击者通过更改PE二进制文件中WIN_CERTIFICATE结构内的单个字节创建修改变体——特别是在嵌入式微软Authenticode签名的未认证属性中。此字节是微软时间戳机构应用的RFC 3161时间戳（计数器签名）的一部分。因为未认证属性未覆盖在主签名摘要中，此更改不影响嵌入式微软签名的有效性，并且不破坏信任链。结果，Windows继续将驱动程序视为有效签名和受信任，即使在最新版本上。然而，文件的整体哈希（例如SHA-256）现在不同，这允许攻击者创建修改的、唯一哈希但仍然有效签名的原始驱动程序版本。

图21：修补后WatchDog Antimalware驱动程序（版本1.1.100）的单字节修改。

我们建议手动应用最新版本的微软易受攻击驱动程序阻止列表，因为它通常每年自动更新一次或两次。由于我们不能保证此活动中滥用的所有易受攻击驱动程序都将添加到微软易受攻击驱动程序阻止列表中，我们提供了YARA规则（见附录C – YARA）来检测它们，并建议监控和防止其滥用。

结论

我们揭示了一个复杂的活动，归属于Silver Fox APT组织，该活动利用易受攻击的签名驱动程序绕过安全保护并部署ValleyRAT后门。通过滥用两个易受攻击驱动程序，一个先前已知和一个新识别，攻击者实现了任意进程终止，允许他们禁用反恶意软件解决方案并在多个Windows版本（包括最新Windows 10和11）上保持隐蔽。

新识别的WatchDog Antimalware驱动程序滥用表明即使签名且看似受信任的驱动程序也可能包含关键漏洞。攻击者修改驱动程序数字签名中未认证属性以规避检测同时保持可信度的技术暴露了仅依赖基于哈希或基于签名的检测方法的局限性。

我们的发现突出了分层防御策略的需求，不仅包括及时应用微软的易受攻击驱动程序阻止列表和自定义检测规则（如YARA签名），还包括强大的基于行为的检测，能够启发式识别和阻止此类威胁。这些组合措施对于在攻击者可以提升权限或禁用安全软件之前检测和防止易受攻击驱动程序滥用至关重要。

我们的最后一点是，我们的研究强化了安全供应商和用户持续努力保持警惕 against 合法驱动程序新出现的滥用的需求。主动识别、报告和修补这些漏洞对于加强Windows系统 against 利用自带易受攻击驱动程序（BYOVD）技术的不断演变威胁至关重要。

保护

Check Point Threat Emulation和Harmony Endpoint提供全面的攻击策略、文件类型和操作系统覆盖，并保护 against 本报告中描述的 attacks 和 threats。

参考

• CPR – Breaking Boundaries: Investigating Vulnerable Drivers and Mitigating Risks: https://research.checkpoint.com/2024/breaking-boundaries-investigating-vulnerable-drivers-and-mitigating-risks/
• CPR – Silent Killers: Unmasking a Large-Scale Legacy Driver Exploitation Campaign: https://research.checkpoint.com/2025/large-scale-exploitation-of-legacy-driver/
• LOLDrivers: https://github.com/magicsword-io/LOLDrivers
• Microsoft Vulnerable Driver Blocklist: https://learn.microsoft.com/en-us/windows/security/application-security/application-control/app-control-for-business/design/microsoft-recommended-driver-block-rules
• Terminator PoC: https://github.com/ZeroMemoryEx/Terminator
• Reverse Engineering Zemana AntiMalware/AntiLogger Driver: https://voidsec.com/reverse-engineering-terminator-aka-zemana-antimalware-antilogger-driver/
• Watchdog Anti-Malware product: https://watchdog.com/solutions/anti-malware/
• Zemana Anti-Malware SDK: https://zemana.com/us/sdk.html
• Device Characteristics: https://learn.microsoft.com/en-us/windows-hardware/drivers/kernel/specifying-device-characteristics
• UPX – the Ultimate Packer for eXecutables: https://github.com/upx/upx
• Splunk – ValleyRAT Insights: https://www.splunk.com/en_us/blog/security/valleyrat-insights-tactics-techniques-and-detection-methods.html
• Zscaler – Technical Analysis of ValleyRAT: https://www.zscaler.com/blogs/security-research/technical-analysis-latest-variant-valleyrat
• Malpedia ValleyRAT: https://malpedia.caad.fkie.fraunhofer.de/details/win.valley_rat

附录A – 要终止的进程列表

注意大多数目标进程与通常在中国或亚洲地区部署的安全解决方案关联。

  1
  2
  3
  4
  5
  6
  7
  8
  9
 10
 11
 12
 13
 14
 15
 16
 17
 18
 19
 20
 21
 22
 23
 24
 25
 26
 27
 28
 29
 30
 31
 32
 33
 34
 35
 36
 37
 38
 39
 40
 41
 42
 43
 44
 45
 46
 47
 48
 49
 50
 51
 52
 53
 54
 55
 56
 57
 58
 59
 60
 61
 62
 63
 64
 65
 66
 67
 68
 69
 70
 71
 72
 73
 74
 75
 76
 77
 78
 79
 80
 81
 82
 83
 84
 85
 86
 87
 88
 89
 90
 91
 92
 93
 94
 95
 96
 97
 98
 99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192

2345AdRtProtect.exe
2345Associate.exe
2345AuthorityProtect.exe
2345ExtShell.exe
2345ExtShell64.exe
2345FileShre.exe
2345HipsSet.exe
2345InstDll.exe
2345LSPFix.exe
2345LeakFixer.exe
2345MPCSafe.exe
2345ManuUpdate.exe
2345NetFlow.exe
2345NetRepair.exe
2345NightMode.exe
2345PCSafeBootAssistant.exe
2345ProtectManager.exe
2345RTProtect.exe
2345RtProtectCenter.exe
2345SFGuard.exe
2345SFGuard64.exe
2345SFWebShell.exe
2345SafeCenterCrashReport.exe
2345SafeCenterInstaller.exe
2345SafeCenterSvc.exe
2345SafeCenterUpdate.exe
2345SafeLock.exe
2345SafeSvc.exe
2345SafeTray.exe
2345SafeUpdate.exe
2345ScUpgrade.exe
2345Setting.exe
2345ShellPro.exe
2345ShortcutArrow.exe
2345SoftMgr.exe
2345SoftmgrDaemon.exe
2345SoftmgrSvc.exe
2345SysDoctor.exe
2345TrashRcmd.exe
2345Uninst.exe
2345UsbGuard.exe
2345VirusScan.exe
360AI.exe
360FileGuard.exe
360QMachine.exe
360Restore.exe
360Safe.exe
360SkinMgr.exe
360huabao.exe
360leakfixer.exe
360netcfg.exe
360netcfg64.exe
360realpro.exe
360rp.exe
360rps.exe
360sd.exe
360sdSetup.exe
360sdToasts.exe
360sdrun.exe
360sdsf.exe
360sdupd.exe
360speedld.exe
360tray.exe
BGADefMgr.exe
BrowserPrivacyAndSecurity.exe
CertImporter-1684.exe
Client.exe
ConfigSecurityPolicy.exe
DSMain.exe
DlpUserAgent.exe
DumpUper.exe
Fetion.exe
HipsDaemon.exe
HipsMain.exe
HipsTray.exe
MSPCManager.exe
MSPCManagerCore.exe
MSPCManagerService.exe
MipDlp.exe
MpCmdRun.exe
MpCopyAccelerator.exe
MpDlpCmd.exe
MpDlpService.exe
MsMpEng.exe
MultiTip.exe
NewIDView.exe
NisSrv.exe
PCMAutoRun.exe
QMAIService.exe
QMDL.exe
QMFloatWidget.exe
QQPCExternal.exe
QQPCMgrUpdate.exe
QQPCPatch.exe
QQPCRTP.exe
QQPCSoftCmd.exe
QQPCSoftMgr.exe
QQPCTray.exe
QQRepair.exe
RMenuMgr.exe
SecurityHealthHost.exe
SecurityHealthService.exe
SysCleanProService.exe
SysInspector.exe
VolSnapshotX64.exe
ZhuDongFangYu.exe
activeconsole
anti-malware
antimalware
avpia.exe
avpvk.exe
callmsi.exe
eCapture.exe
eComServer.exe
ecls.exe
ecmd.exe
ecmds.exe
eeclnt.exe
egui.exe
eguiProxy.exe
feedback.exe
feedbackwin.exe
kailab.exe
kassistant.exe
kassistsetting.exe
kauthorityview.exe
kavlog2.exe
kcddltool.exe
kcleaner.exe
kcrm.exe
kctrlpanel.exe
kdf.exe
kdinfomgr.exe
kdownloader.exe
kdrvmgr.exe
kdumprep.exe
kdumprepn.exe
keyemain.exe
kfixstar.exe
kfloatmain.exe
khealthctrlspread.exe
kinst.exe
kintercept.exe
kislive.exe
kismain.exe
kldw.exe
kmenureg.exe
knewvip.exe
knotifycenter.exe
krecycle.exe
kscan.exe
kschext.exe
kscrcap.exe
ksetupwiz.exe
kslaunch.exe
kslaunchex.exe
ksoftmgr.exe
ksoftmgrproxy.exe
ksoftpurifier.exe
kteenmode.exe
ktrashautoclean.exe
kupdata.exe
kwebx.exe
kwsprotect64.exe
kwtpanel.exe
kxecenter.exe
kxemain.exe
kxescore.exe
kxetray.exe
kxewsc.exe
mpextms.exe
packageregistrator.exe
plugins-setup.exe
plugins_nms.exe
qmbsrv.exe
rcmdhelper.exe
rcmdhelper64.exe
remove_incompatible_applications.exe
restore_tool.exe
safesvr.exe
securityhealthsystray.exe
smartscreen.exe

troubleshoot.exe
uni0nst.exe
uninstallation_assistant_host.exe
upgrade.exe
vssbridge64.exe
webx.exe
webx_helper.exe
wmiav.exe
wsctrlsvc.exe

附录B – IOCs

一体化独立加载器：