追踪银狐APT：内核阴影下的猫鼠游戏与漏洞驱动攻击

摘要亮点

Check Point研究团队发现银狐APT组织正在进行中的野外攻击活动，涉及滥用先前未知的漏洞驱动amsdk.sys。该驱动基于Zemana反恶意软件SDK构建，具有微软签名，未列入微软漏洞驱动阻止列表，也未被LOLDrivers等社区项目检测到。

攻击者利用此未知漏洞驱动终止与现代安全解决方案相关的受保护进程，从而在完全更新的Windows 10和11系统上实现EDR/AV规避，且不触发基于签名的防御。

攻击采用双驱动策略确保跨Windows版本兼容性：为传统系统使用已知漏洞的Zemana驱动，为现代环境使用未检测到的WatchDog驱动。两者都嵌入在单个自包含加载器中，该加载器还包含反分析层和ValleyRAT下载器。

在CPR披露后，供应商发布了修补驱动。尽管我们及时报告该补丁未完全缓解任意进程终止问题，但攻击者迅速调整并将修补驱动的修改版本纳入持续攻击活动中。

所有分析样本都部署为自包含的全功能加载器，包含：

执行时样本执行多项常见反分析检查，包括反虚拟机、反沙箱、虚拟机监控程序检测等。如果任何检查失败，执行将中止并显示虚假系统错误消息。

为建立持久性，加载器在系统路径下创建RunTime文件夹，并将全功能加载器样本和相应版本的漏洞驱动放入此文件夹。

编码的有效载荷直接嵌入二进制文件的.rdata部分，包括：

EDR/AV清除例程直接嵌入在全功能加载器中。根据受感染系统的Windows版本，删除两个嵌入式漏洞驱动之一。两个驱动都基于Zemana反恶意软件SDK，利用逻辑相同。

核心EDR/AV清除逻辑在KillEDRMain函数中实现，遍历Base64编码的目标进程列表进行终止。

被滥用的WatchDog Antimalware驱动是64位有效签名的Windows内核设备驱动，基于Zemana反恶意软件SDK，但未被先前归类为存在漏洞。

该驱动存在多个漏洞，最严重的是能够从非特权用户跨越安全边界到系统，直接导致本地权限提升。

所有分析样本都部署了知名的ValleyRAT后门作为最终阶段。该恶意软件变种强烈归属于知名的银狐APT组织。

攻击者滥用两个漏洞驱动来终止安全解决方案相关进程。虽然旧版驱动已被分类为已知漏洞，但新版驱动绕过了所有检测机制。

我们建议手动应用最新版本的微软漏洞驱动阻止列表，并提供了YARA规则来检测这些驱动。

我们揭示了一个归属于银狐APT组织的复杂攻击活动，该活动利用有漏洞的签名驱动绕过安全保护并部署ValleyRAT后门。通过滥用两个漏洞驱动，攻击者实现了任意进程终止，使其能够禁用反恶意软件解决方案并在多个Windows版本上保持隐蔽。

攻击者修改驱动数字签名中未验证属性以逃避检测同时保持可信性的技术，暴露了仅依赖基于哈希或基于签名的检测方法的局限性。