摘要：Check Point Research (CPR) 将此活动归咎于Silver Fox APT 组织，凸显攻击者利用曾经被认为是安全的微软签名驱动程序的风险。

新发现的网络攻击活动正在利用受信任但易受攻击的 Windows 驱动程序来绕过安全保护并安装远程访问木马。

Check Point Research (CPR) 将此活动归咎于Silver Fox APT 组织，凸显攻击者利用曾经被认为是安全的微软签名驱动程序的风险。

攻击的核心是 WatchDog Antimalware 驱动程序（amsdk.sys，版本 1.0.600）。

尽管该驱动程序由微软签名，并且之前未被列为易受攻击的漏洞，但它被滥用来终止与防病毒和 EDR 工具相关的进程，从而为ValleyRAT的部署扫清了道路 。ValleyRAT 是一种能够进行监视、命令执行和数据泄露的模块化后门。

Silver Fox 还依赖较旧的基于 Zemana 的驱动程序（ZAM.exe）来保持从 Windows 7 到 Windows 11 系统的兼容性。

这两个驱动程序都允许任意进程终止，使攻击者能够禁用受保护的进程。

研究人员发现，该组织将所有元素打包到自包含的加载器二进制文件中。每个样本包括：反分析功能；持久性机制；两个嵌入式驱动程序；要终止的安全软件进程的硬编码列表；ValleyRAT 下载程序

该活动迅速演变，产生了使用新驱动程序或修改版本的修补驱动程序的变种，以避免被发现。

其中一项技术涉及修改已修补的 WatchDog 驱动程序 (wamsdk.sys，版本 1.1.100)，方法是更改其时间戳字段中的单个字节。

由于微软的数字签名不涵盖此字段，因此驱动程序签名仍然有效，但会显示为一个具有不同哈希值的新文件。

攻击中使用的基础设施被追踪到位于中国的服务器，而恶意软件配置则专门针对东亚流行的安全产品。这些细节，加上 ValleyRAT 负载，最终确定是 Silver Fox APT 的攻击。

尽管 WatchDog 发布了解决本地权限提升漏洞的更新，但任意进程终止仍然可能使系统容易受到攻击。

CPR 的研究强调，仅靠签名和哈希校验是不够的。建议安全团队应用微软最新的驱动程序黑名单，使用 YARA 检测规则，并实施基于行为的监控来捕捉异常的驱动程序活动。

技术报告：

来源：会杀毒的单反狗