签名可加载驱动被滥用,内核层绕过哈希与证书阻断终止EDR
摘要
2025-2026年间,BYOVD(自带易受攻击驱动)完成攻击范式转移:攻击者不再局限于搜集“已知有漏洞且已入黑名单”的旧驱动,而是把“任何可被加载的、带有效签名且具内核特权的驱动/证书”本身当作攻击面,通过IOCTL滥用在内核层终止EDR、提权与持久化。该阶段的关键变化集中在未知漏洞驱动武器化、被盗/过期/已吊销证书仍可被利用、以及对基于哈希/证书指纹的阻断策略实施绕过,共包含6个关键安全事件与漏洞要点。 1、2025年8月,Silver Fox APT在大规模攻击中滥用带微软签名且此前未公开漏洞的WatchDog反恶意软件驱动amsdk.sys(v1.0.600),在Windows 10/11上实现内核级终止任意进程与权限提升,并以双驱动策略兼容不同系统:Windows 7使用已知漏洞的Zemana驱动,Windows 10/11使用amsdk.sys,从而在内核层瓦解终端防护。 2、2025年8月披露的同一攻击链中,初始入侵围绕企业税务流程钓鱼展开(伪装税务审计通知、报税软件安装包、云端电子发票下载链接),投递手法包含恶意LNK、DLL侧加载与BYOVD(利用wsftprm.sy
正文
## 事件背景 在2025-2026年间,网络安全领域经历了一次显著的攻击模式转变,攻击者开始滥用合法签名的驱动程序进行攻击,而不再仅仅依赖于已知漏洞的驱动。这种攻击模式被称为Bring Your Own Vulnerable Driver(BYOVD),其核心在于利用具有内核级特权的合法驱动程序,攻击者通过从公开渠道获取这些驱动,利用其内在的漏洞进行恶意操作。攻击者的目标是绕过传统的安全防护措施,导致了广泛的安全隐患。 ## 攻击手法 BYOVD攻击利用了Windows驱动信任模型的缺陷,攻击者不再寻找已知漏洞的驱动,而是使用合法签名的驱动程序。攻击者通过滥用有效的微软WHQL签名驱动(如WatchDog反恶意软件驱动amsdk.sys)进行攻击,利用其内核级权限执行恶意操作。攻击者还使用了被盗或过期的合法证书来签署自定义恶意驱动。攻击链中,攻击者通过钓鱼邮件获取初始访问权限,使用恶意LNK文件、DLL侧加载等技术,随后加载恶意驱动以终止安全软件进程。攻击者还通过单字节翻转技术绕过哈希黑名单,保持驱动的有效签名,同时改变文件哈希值。 ## 影响评估 BYOVD攻击的影响深远,攻击者能够通过合法驱动程序获取内核级权限,绕过用户态的安全防护,导致安全软件失效。攻击者可以在内核层面终止任意进程,修改关键系统结构,进而实现对系统的完全控制。这种攻击模式的普遍性和隐蔽性使得传统的安全防护措施难以有效应对,给企业和用户带来了巨大的安全风险。 ## 处置建议 针对BYOVD攻击,微软在2026年3月宣布了一项政策变更,计划从2026年4月开始,默认移除对旧版交叉签名根程序签发驱动程序的信任,所有新内核驱动程序必须通过Windows硬件兼容性计划进行认证。此外,建议通过WDAC策略阻止已知易受攻击驱动程序的加载,以增强系统的安全性。防御方需要转变策略,从静态的签名验证转向动态的行为监控,实施更严格的访问控制和实时检测机制。
标签
- group:银狐
- silverfox
- tag:ValleyRAT
- tag:winos
- tag:银狐
- threatbook
- threat_intelligence
扩展字段
{
"attack_method": {
"attack_type": null,
"attck_count": 0,
"is_command": null,
"is_new_attack": null
},
"event_types": [],
"gpt_tags": [
"ValleyRAT",
"银狐",
"winos"
],
"malware_name": null,
"reference_links": [
"https://mp.weixin.qq.com/s/-X-mwyVc108HBSOsZwM0Dw"
],
"related_anonymous": "银狐",
"target_area": [
"台湾地区企业"
],
"target_country": [],
"target_industry_type": [
"政府"
]
}