根据最近的一份安全报告,一种采用旧版驱动程序利用技术的复杂攻击已成为重大的网络安全威胁。
这种攻击最早由 CheckPoint-Research(CPR)在 2024 年 6 月记录在案,主要是利用 GhOstRAT 恶意软件对受感染系统进行远程控制,同时规避检测机制。
威胁行为者通过网络钓鱼网站和即时通讯应用程序传播恶意软件,随后使用动态链接库(DLL)侧加载技术加载额外的有效载荷。
他们利用经过修改的 TrueSight.sys 驱动程序绕过Microsoft 的驱动程序阻止系统,从而能够强行终止诸如防病毒软件和端点检测与响应(EDR)系统等安全进程。
ASEC 的分析师发现,这种攻击的核心在于利用 TrueSight.sys 驱动程序中的漏洞,该驱动程序是 Adlice Software 开发的 RogueKiller 反 rootkit 工具的一个组件。
3.4.0 版本及更低版本存在一个允许任意终止进程的漏洞,攻击者通过 AVKiller 工具利用了这一漏洞。
虽然Microsoft 已将存在漏洞的 TrueSight.sys 版本列入其漏洞驱动程序阻止列表,但 2.0.2.0 版本获得了豁免,因为它是在 2015 年 7 月 29 日之前签名的。
攻击者利用这一漏洞,通过篡改证书区域创建了多个伪装成合法的 TrueSight 2.0.2.0 版本的文件。
SSL 证书绕过技术
攻击者的方法包括修改 WIN_CERTIFICATE 结构中的填充区域。
在证书验证过程中,Windows 不会验证这个填充区域,这使得被篡改的文件看起来像是经过合法签名的,并且能够通过 WinVerifyTrust 成功绕过验证。
这种技术与 CVE-2013-3900 漏洞相关。用户可以通过实施以下注册表设置来增强防护:
(1)32 位系统:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config] “EnableCertPaddingCheck”=”1”
(2)64 位系统:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config] “EnableCertPaddingCheck”=”1”
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Cryptography\Wintrust\Config] “EnableCertPaddingCheck”=”1”
Microsoft 在 2024 年 12 月 17 日更新了其漏洞驱动程序阻止列表以应对这一威胁。AhnLab V3 杀毒软件现在将被恶意修改的 TrueSight.sys 检测为 “Trojan/Win.VulnDriver.R695153”。
各机构应应用最新的安全更新,并定期进行漏洞分析,以防范这些针对核心系统安全组件的复杂攻击。
发表评论
您还未登录,请先登录。
登录