
2025. augusztus 28-án a Check Point Research (CPR) nyilvánosságra hozta egy fejlett, állandó fenyegetést jelentő csoport, a Silver Fox APT új kampányát, amely során a támadók egy korábban ismeretlen, Microsoft által aláírt illesztőprogram sebezhetőségét kihasználva kerülték meg a korszerű EDR- és antivírus-megoldásokat a teljesen naprakész Windows 10 és 11 rendszereken.
Sebezhető, de aláírt meghajtó a védelem kijátszására
A kampány kulcsfontosságú eleme a WatchDog Antimalware driver (amsdk.sys 1.0.600-as verzió), amelyet a Zemana Anti-Malware SDK alapján készítettek. Ez az illesztőprogram nem szerepelt a Microsoft hivatalos „Vulnerable Driver Blocklist” listáján, és sem a Microsoft, sem a biztonsági közösség projektjei nem észlelték.
A Silver Fox APT kétféle meghajtót alkalmazott a kompatibilitás érdekében:
- Régebbi rendszerek (pl. Windows 7) esetén a már ismert, blokkolt Zemana drivert használták.
- Modern Windows 10 és 11 rendszereken viszont a WatchDog drivert vetették be, amely érvényes Microsoft aláírással rendelkezett, és megkerülte a hagyományos detekciós mechanizmusokat.
Egyesített kártevőbetöltő: minden egyben, célzott hatékonyság
A kampány központi elemei az „all-in-one” kártevőbetöltők, amelyek több rosszindulatú összetevőt is tartalmaznak:
- Két sebezhető illesztőprogramot,
- Biztonsági szoftverek megszüntetésére szolgáló logikát,
- A ValleyRAT (más néven Winos) nevű távoli elérésű trójait (Remote Access Trojan, RAT).
A kártevő több védelmi technikával is rendelkezik, például:
- Virtuális gépek, sandboxok és hipervizorok detektálása,
- Ismeretlen környezet esetén álcázó hibaüzenetek megjelenítése.
Érdekesség, hogy bizonyos számítógépnevek esetén (pl. DESKTOP-T3N3M3Q) a kártevő mégis tovább fut, ami a fejlesztés alatti belső rendszerekre utalhat.
Állandóság és rendszerbe ágyazás
A kártevő létrehoz egy C:\Program Files\RunTime\ mappát, ahol a betöltő és a driver fut:
- RuntimeBroker.exe – maga a betöltő,
- Amsdk_Service.sys – a sebezhető meghajtó.
Két szolgáltatást is létrehoz:
- Termaintor – a betöltő állandóságát biztosítja,
- Amsdk_Service – a driver betöltéséhez szükséges beállításokat kezeli.
A sebezhetőség technikai részletei
A WatchDog driver lehetővé teszi védett folyamatok (pl. EDR-ek) leállítását, anélkül, hogy ellenőrizné a célfolyamat státuszát. Bár erős hozzáférés-szabályozási listát (DACL) használ, hiányzik belőle a FILE_DEVICE_SECURE_OPEN zászló, így jogosulatlan felhasználók is képesek kommunikálni az eszközzel névtér manipulációval.
A támadók két IOCTL parancsot használnak:
- IOCTL_REGISTER_PROCESS (0x80002010) – saját folyamatuk regisztrálása.
- IOCTL_TERMINATE_PROCESS (0x80002048) – célzott biztonsági folyamatok megszüntetése.
Ezzel hatékonyan kikapcsolják a legtöbb védelmi megoldást a támadott rendszereken.
ValleyRAT: távoli hozzáférés, kémkedés, adattovábbítás
A végső cél a ValleyRAT betöltése, amely:
- Távoli parancsokat hajt végre,
- Megfigyeli a rendszert,
- Képes adatok kiszivárogtatására.
A kommunikáció XOR alapú titkosítással történik, és kínai szerverekhez kapcsolódik. A célkereszt főként ázsiai piacokra, különösen Kínára irányul, amit a célzott biztonsági szoftverek listája is megerősít.
Gyártói reakció és a fenyegetés fennmaradása
A CPR jelentését követően a WatchDog kiadott egy javított meghajtót (wamsdk.sys 1.1.100), amely ugyan megszüntette a helyi jogosultságbővítési problémát, de továbbra sem orvosolta a védett folyamatok leállításával kapcsolatos veszélyeket.
A Silver Fox APT gyorsan alkalmazkodott: módosították a javított drivert egyetlen byte megváltoztatásával az aláírás időbélyegében, így megtartották az érvényes Microsoft aláírást, de új hash-t hoztak létre, ezzel megkerülve a hash-alapú blokkolást.
Tanulságok és javasolt védekezési stratégiák
Ez a kampány újabb figyelmeztetés a fejlett fenyegetések alkalmazkodóképességére:
- A hagyományos, aláírásalapú védelem önmagában már nem elég.
- A régi, de aláírt driverek is kihasználhatók, ha azok nem szerepelnek a blokkolási listákon.
Javasolt lépések:
- A Microsoft „Vulnerable Driver Blocklist” manuális alkalmazása.
- Viselkedésalapú (behavior-based) detekciós rendszerek bevezetése.
- A jogosítvány-alapú bizalommodell újragondolása – aláírás nem garantálja a megbízhatóságot.
Záró gondolat
A Silver Fox APT kampánya világosan mutatja, hogy a legmodernebb, teljesen frissített rendszerek is sérülékenyek lehetnek, ha a támadók a rendszerbe épített bizalmi mechanizmusokat fordítják a védelem ellen. A védelmi rendszerek jövője a proaktív, rétegezett megközelítésben, a gyors sebezhetőség-felismerésben és a megelőző intézkedésekben rejlik.
