签名内核驱动滥用成勒索与APT攻击面
摘要
2025-2026年间,内核驱动滥用(BYOVD)完成了从“利用已知漏洞驱动”到“滥用持有合法签名驱动”的根本范式转移,攻击者将带签名的内核驱动本身视为攻击面,广泛用于勒索软件和APT隐蔽行动。研究和监测显示,签名验证仅检验签名的密码学完整性而不评估驱动行为,基于哈希的黑名单、过期或被盗证书及旧版交叉签名机制均被系统化滥用。共包含8个关键事件和技术要点,涵盖具体威胁样本、利用手法、已记录漏洞与防御响应。 1、2025年8月,名为Silver Fox的APT在大规模行动中滥用一个持有有效签名的反恶意软件驱动(amsdk.sys,WatchDog),该驱动此前未被公开报告为存在漏洞;攻击者在Windows 10/11上通过加载该签名驱动在内核层实现终止安全进程和权限提升,初始访问常由定向钓鱼邮件和DLL侧加载等手段获得; 2、HoneyMyte(又称Mustang Panda)利用2015年被盗或过期的真实代码签名证书,签署并加载自制内核级迷你过滤驱动以拦截IRP并注入后门,攻击者通过合法证书签名绕过签名验证,将自研恶意驱动伪装为合法组件; 3、单字节时间戳翻转绕过哈希黑名单:攻击者通过翻
正文
## 事件背景 BYOVD攻击在2025-2026年间完成了从利用已知漏洞驱动到滥用合法签名驱动的根本性转变。攻击者通过利用Windows驱动签名验证的结构性缺陷,能够在内核层面实施隐蔽攻击。此攻击模式广泛应用于勒索软件和APT活动,暴露了基于签名的信任模型的根本缺陷。 ## 攻击手法 BYOVD攻击利用了合法签名驱动的内核级特权,攻击者不再依赖于已知漏洞,而是滥用未被标记的合法驱动。攻击者通过收集旧版驱动、利用未知漏洞驱动、滥用被盗或过期证书等方式实施攻击。Silver Fox APT组织使用的WatchDog反恶意软件驱动(amsdk.sys)是一个典型样本,持有有效微软签名但未被报告存在漏洞。攻击者还通过单字节翻转技术绕过哈希黑名单,修改驱动文件的时间戳字段以生成新的文件哈希值,同时保留原始数字签名的有效性。此外,HoneyMyte APT组织使用被盗证书签署自定义恶意驱动,进一步绕过了检测逻辑。 ## 影响评估 BYOVD攻击的发生揭示了驱动签名信任模型的结构性缺陷,攻击者能够在不被检测的情况下获得内核级权限,进而终止安全软件进程,实施权限提升和数据窃取。这种攻击模式的普遍性和隐蔽性使得传统的安全防护措施难以有效应对,导致企业面临更大的安全风险。 ## 处置建议 针对BYOVD攻击,微软在2026年宣布了一项政策变更,移除对旧版交叉签名根程序签发驱动程序的信任,未来所有新内核驱动必须通过Windows硬件兼容性计划进行认证。此外,建议通过WDAC策略阻止已知易受攻击驱动程序的加载,强化内核级驱动程序的信任和加载方式。
标签
- group:HoneyMyte,银狐
- silverfox
- tag:amsdk
- tag:HoneyMyte
- tag:NimBlackout
- tag:银狐
- threatbook
- threat_intelligence
扩展字段
{
"attack_method": {
"attack_type": null,
"attck_count": 0,
"is_command": null,
"is_new_attack": null
},
"event_types": [],
"gpt_tags": [
"HoneyMyte",
"NimBlackout",
"银狐",
"amsdk"
],
"malware_name": null,
"reference_links": [
"https://www.gm7.org/archives/107194"
],
"related_anonymous": "HoneyMyte,银狐",
"target_area": [],
"target_country": [
"中国台湾"
],
"target_industry_type": [
"国央企",
"民营、外资及其它行业"
]
}