Silver Fox 利用 Microsoft 签名驱动程序的漏洞 部署 ValleyRAT 后门

滥用 Microsoft 签名的驱动程序
攻击的核心是 WatchDog 反恶意软件驱动程序（amsdk.sys，版本 1.0.600）。
尽管由 Microsoft 签名并且之前未被列为易受攻击，但该驱动程序被滥用来终止与防病毒和 EDR 工具相关的进程，为部署 ValleyRAT 扫清了道路——一种能够监视、命令执行和数据泄露的模块化后门。
Silver Fox 还依靠较旧的基于 Zemana 的驱动程序 （ZAM.exe） 来保持从 Windows 7 到 Windows 11 等系统之间的兼容性。
这两个驱动程序都允许任意进程终止，使攻击者能够禁用受保护的进程。





规避和归因
一种技术涉及通过更改时间戳字段中的单个字节来修改已修补的 WatchDog 驱动程序（wamsdk.sys，版本 1.1.100）。由于 Microsoft 的数字签名不涵盖此字段，因此驱动程序签名仍然有效，但显示为具有不同哈希的新文件。
攻击中使用的基础设施被追踪到中国的服务器，而恶意软件配置专门针对在东亚流行的安全产品。这些细节与 ValleyRAT 有效载荷相结合，导致归因于 Silver Fox APT。
尽管 WatchDog 发布了解决本地权限提升缺陷的更新，但任意进程终止仍然可能使系统容易受到攻击。
CPR 研究强调，仅靠签名和哈希检查是不够的。建议安全团队应用 Microsoft 最新的驱动程序阻止列表，使用 YARA 检测规则并实施基于行为的监控来捕获异常驱动程序活动。
“我们的研究强调了安全供应商和用户不断努力的必要性，以对新出现的对合法驱动程序的滥用保持警惕，”CPR 写道。
“主动识别、报告和修补这些漏洞对于利用自带易受攻击的驱动程序 （BYOVD） 技术加强 Windows 系统抵御不断变化的威胁至关重要。”