Támadás a bizalom ellen: A Silver Fox APT és egy Microsoft által aláírt illesztőprogram

Segítséget kaptál? Szívesen töltöd itt az idődet? Visszajársz hozzánk? Támogasd a munkákat: Ko-fi és Paypal!

kami911 képe

2025. augusztus 28-án a Check Point Research (CPR) nyilvánosságra hozta egy fejlett, állandó fenyegetést jelentő csoport, a Silver Fox APT új kampányát, amely során a támadók egy korábban ismeretlen, Microsoft által aláírt illesztőprogram sebezhetőségét kihasználva kerülték meg a korszerű EDR- és antivírus-megoldásokat a teljesen naprakész Windows 10 és 11 rendszereken.

Sebezhető, de aláírt meghajtó a védelem kijátszására

A kampány kulcsfontosságú eleme a WatchDog Antimalware driver (amsdk.sys 1.0.600-as verzió), amelyet a Zemana Anti-Malware SDK alapján készítettek. Ez az illesztőprogram nem szerepelt a Microsoft hivatalos „Vulnerable Driver Blocklist” listáján, és sem a Microsoft, sem a biztonsági közösség projektjei nem észlelték.

A Silver Fox APT kétféle meghajtót alkalmazott a kompatibilitás érdekében:

  • Régebbi rendszerek (pl. Windows 7) esetén a már ismert, blokkolt Zemana drivert használták.
  • Modern Windows 10 és 11 rendszereken viszont a WatchDog drivert vetették be, amely érvényes Microsoft aláírással rendelkezett, és megkerülte a hagyományos detekciós mechanizmusokat.

Egyesített kártevőbetöltő: minden egyben, célzott hatékonyság

A kampány központi elemei az „all-in-one” kártevőbetöltők, amelyek több rosszindulatú összetevőt is tartalmaznak:

  • Két sebezhető illesztőprogramot,
  • Biztonsági szoftverek megszüntetésére szolgáló logikát,
  • A ValleyRAT (más néven Winos) nevű távoli elérésű trójait (Remote Access Trojan, RAT).

A kártevő több védelmi technikával is rendelkezik, például:

  • Virtuális gépek, sandboxok és hipervizorok detektálása,
  • Ismeretlen környezet esetén álcázó hibaüzenetek megjelenítése.

Érdekesség, hogy bizonyos számítógépnevek esetén (pl. DESKTOP-T3N3M3Q) a kártevő mégis tovább fut, ami a fejlesztés alatti belső rendszerekre utalhat.

Állandóság és rendszerbe ágyazás

A kártevő létrehoz egy C:\Program Files\RunTime\ mappát, ahol a betöltő és a driver fut:

  • RuntimeBroker.exe – maga a betöltő,
  • Amsdk_Service.sys – a sebezhető meghajtó.

Két szolgáltatást is létrehoz:

  • Termaintor – a betöltő állandóságát biztosítja,
  • Amsdk_Service – a driver betöltéséhez szükséges beállításokat kezeli.

A sebezhetőség technikai részletei

A WatchDog driver lehetővé teszi védett folyamatok (pl. EDR-ek) leállítását, anélkül, hogy ellenőrizné a célfolyamat státuszát. Bár erős hozzáférés-szabályozási listát (DACL) használ, hiányzik belőle a FILE_DEVICE_SECURE_OPEN zászló, így jogosulatlan felhasználók is képesek kommunikálni az eszközzel névtér manipulációval.

A támadók két IOCTL parancsot használnak:

  1. IOCTL_REGISTER_PROCESS (0x80002010) – saját folyamatuk regisztrálása.
  2. IOCTL_TERMINATE_PROCESS (0x80002048) – célzott biztonsági folyamatok megszüntetése.

Ezzel hatékonyan kikapcsolják a legtöbb védelmi megoldást a támadott rendszereken.

ValleyRAT: távoli hozzáférés, kémkedés, adattovábbítás

A végső cél a ValleyRAT betöltése, amely:

  • Távoli parancsokat hajt végre,
  • Megfigyeli a rendszert,
  • Képes adatok kiszivárogtatására.

A kommunikáció XOR alapú titkosítással történik, és kínai szerverekhez kapcsolódik. A célkereszt főként ázsiai piacokra, különösen Kínára irányul, amit a célzott biztonsági szoftverek listája is megerősít.

Gyártói reakció és a fenyegetés fennmaradása

A CPR jelentését követően a WatchDog kiadott egy javított meghajtót (wamsdk.sys 1.1.100), amely ugyan megszüntette a helyi jogosultságbővítési problémát, de továbbra sem orvosolta a védett folyamatok leállításával kapcsolatos veszélyeket.

A Silver Fox APT gyorsan alkalmazkodott: módosították a javított drivert egyetlen byte megváltoztatásával az aláírás időbélyegében, így megtartották az érvényes Microsoft aláírást, de új hash-t hoztak létre, ezzel megkerülve a hash-alapú blokkolást.

Tanulságok és javasolt védekezési stratégiák

Ez a kampány újabb figyelmeztetés a fejlett fenyegetések alkalmazkodóképességére:

  • A hagyományos, aláírásalapú védelem önmagában már nem elég.
  • A régi, de aláírt driverek is kihasználhatók, ha azok nem szerepelnek a blokkolási listákon.

Javasolt lépések:

  • A Microsoft „Vulnerable Driver Blocklist” manuális alkalmazása.
  • Viselkedésalapú (behavior-based) detekciós rendszerek bevezetése.
  • A jogosítvány-alapú bizalommodell újragondolása – aláírás nem garantálja a megbízhatóságot.

Záró gondolat

A Silver Fox APT kampánya világosan mutatja, hogy a legmodernebb, teljesen frissített rendszerek is sérülékenyek lehetnek, ha a támadók a rendszerbe épített bizalmi mechanizmusokat fordítják a védelem ellen. A védelmi rendszerek jövője a proaktív, rétegezett megközelítésben, a gyors sebezhetőség-felismerésben és a megelőző intézkedésekben rejlik.

(forrás, forrás)