Siber savaş / ulus-devlet saldırıları, sahtekarlık yönetimi ve siber suç
Microsoft blok listesinde boşluk, Vallevrat tespit edilmemiş çalışır
Pooja Tikekar (@Poojatikar) •
2 Eylül 2025
Çin ulus-devlet siber grubu, Windows güvenlik korumalarını kapatmak için Microsoft imzalı bir sürücüyü kullanıyor.
Ayrıca bakınız: Ondemand | Kuzey Kore’nin Gizli It Ordusu ve Nasıl Savaşır
Check Point’teki araştırmacılar, Silver Fox’un kötüye kullanıldığı için izlenen tehdit oyuncunun amsdk.sysWindows 10 ve 11’deki korumalı işlemleri sonlandırmak için bir WatchDog Anti-Malware sürücüsü. Sürücü, sürüm 1.0.600, Microsoft’un resmi savunmasız sürücü blok listesinde değil ve Loldrivers gibi topluluk izleyicileri tarafından kataloglanmadı, savunmasız, kötü niyetli ve bilinen kötü niyetli pencereler kataloglamak için gönüllü bir çaba. Bu kör nokta, grubun uyarılar yaratmadan onu kullanmasına izin verdi.
Saldırganlar sürücüyü Zemana Antrivirus yazılımı ve bir Vallerat indirici için savunmasız bir sürücü içeren özel bir yükleyici aracılığıyla konuşlandırdı. Araştırmacılar, yükleyicinin yürütülmeden önce sanal makineler ve kum havuzları için kontroller çalıştırdığını söyledi. Bu kontroller geçerse, yükleyici bekçi sürücüsünü yükler ve korumalı işlem ışığı veya PPL gibi Windows korumalarını devre dışı bırakır.
PPL, Windows 8.1’de tanıtılan bir Windows Güvenlik özelliğidir ve antivirüs, uç nokta koruması ve sistem hizmetleri gibi kritik süreçleri güvenilmeyen kodla sonlandırılmasını veya kurcalanmasını sağlamak içindir.
Araştırmacılar, yöntemin Silver Fox’un uç nokta savunmalarıyla tespitten kaçarken kalıcılığı korumasına izin verdiğini söyledi. Windows, savunmasız olsa bile Microsoft tarafından imzalanan koda otomatik olarak güvenir ve rakiplerin ayrıcalıkları artırma ve izlemeden kaçmak için bu güvenden yararlanmasına izin verir.
Valleyrat, Silver Fox’un daha geniş araç setinin bir parçasıdır. Vallereyrat, saldırganlara enfekte olmuş sistemler üzerinde uzaktan kumanda sağlar ve uzun vadeli casusluk ve saldırı kampanyalarını destekler. Daha önceki operasyonlarda, Silver Fox, örtüşen altyapı ve hedeflemeye sahip başka bir uzaktan erişim Truva atı olan GH0ST sıçanının kullanımı ile bağlantılıydı.
Açıklamanın ardından Microsoft, adlı yamalı bir sürücü yayınladı. wamsdk.syssürüm 1.1.100. Araştırmacılar, “Yamanın keyfi süreç fesih sorununu tam olarak azaltmadığını derhal bildirmiş olsak da, saldırganlar yamalı sürücünün değiştirilmiş bir versiyonunu devam eden kampanyaya hızla uyarladı ve dahil etti.” Dedi.
Silver Fox’un güvendiği temel zayıflık, Yama’dan sonra bile sömürülebilir kaldı. Araştırmacılar, “Saldırganlar, sürücünün Microsoft Authenticode imzasının kimlik doğrulanmamış zaman damgası alanında tek bir bayt değiştirdi.” Dedi. Bu değişiklik, karma tabanlı blok listelerine dayanan savunmaları atlamak için yeterliydi. Değiştirilmiş dosya artık bilinen imzalarla eşleşmiyor, ancak yine de Windows için meşru görünüyordu.
Araştırmacılar, savunmasız imzalı sürücülerin sömürülmesini önlemek için sürücü davranışlarının ve blok listelerinde iyileştirmelerin daha güçlü bir şekilde doğrulanmasını istediler.