调查与缓解恶意驱动程序威胁:微软安全响应中心技术解析

微软安全团队发现攻击者通过WHCP程序分发恶意驱动程序,主要针对中国游戏环境。文章详细披露了攻击技术细节、防御措施及IOC指标,包含52个恶意文件哈希和2个C2服务器IP地址。

恶意驱动程序攻击技术分析

微软发现威胁行为者通过**Windows硬件兼容性计划(WHCP)**提交恶意驱动程序进行认证。这些驱动由第三方构建,攻击链特征如下:

  1. 攻击载体:需获取管理员权限后安装驱动,或诱导用户手动执行
  2. 攻击目标:中国游戏玩家,通过驱动伪造地理位置实现游戏作弊
  3. 攻击扩展:可能部署键盘记录器等工具窃取其他玩家账号

微软防御体系

采用零信任架构实施分层防护:

  • 实时拦截:Microsoft Defender for Endpoint已内置检测规则
  • 行业协同:向其他AV厂商共享威胁指标
  • 底层防护:UEFI扫描器可检测操作系统底层攻击

WHCP安全增强措施

  1. 自动化驱动漏洞扫描机制
  2. 通过Windows Update强制更新有漏洞的驱动版本
  3. 应用**攻击面缩减(ASR)应用程序控制(WDAC)**技术阻断恶意驱动

威胁指标(IOC)

C2服务器IP:

1
2

110.42.4[.]180  
45.113.202[.]180

恶意文件SHA256哈希(节选):

1
2
3
4

04a269dd0a03e32e5b2a1c8ab0768791962e040d080d44dc44dab01dd7954f2b  
0856a1da15b2b3e8999bf9fc51bbdedd4051e21fab1302e2ce766180b4931d86  
0c42fe45ffa9a9c36c87a7f01510a077da6340ffd86bf8509f02c6939da133c5  
[...完整列表包含52个哈希值]

用户防护建议

  • 保持Microsoft Defender实时防护开启
  • 定期安装系统安全更新
  • 避免下载非可信来源的驱动文件
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次