Point Raporları Silver Fox APT, Windows Securation’ı devre dışı bırakmak ve Valleray kötü amaçlı yazılım sunmak için imzalı bir bekçi sürücü kusuru kullanarak.
Check Point Research, Silver Fox APT Grubunun Windows 10 ve 11’deki güvenlik süreçlerini devre dışı bırakmak için Microsoft imzalı ancak savunmasız bir sürücü kullanan bir kampanya yürüttüğünü belirleyerek Vallereyrat olarak bilinen kötü amaçlı yazılım yüklemeyi kolaylaştırdığını belirledi.
Watchdog Antimalware sürücüsüne adlandırılan savunmasız sürücü, amsdk.sys Sürüm 1.0.600, Microsoft’un savunmasız sürücü blok listesi veya kara sürücülerinden (Loldrivers) yaşamak gibi topluluk odaklı çabalar tarafından hiç işaretlenmemişti. Silver Fox, bu sürücüyü zaten riskli olduğu bilinen başka bir eski Zemana sürücüsü ile eşleştirdi ve yükleyicisinin hem modern hem de eski pencere sistemlerinde çalışmasına izin verdi.
Yükleyicinin kendisi, anti-analiz kontrollerini, gömülü sürücüleri, proses öldürme mantığını ve bir Vallerat indiricisini birleştiren bağımsız bir pakettir. Dağıtıldıktan sonra, sistem sürümüne bağlı olarak doğru sürücüyü seçer, kendini kalıcılıkla yükler ve doğrudan güvenlik yazılımı süreçlerine gider. Check Point, kötü amaçlı yazılımın, birçoğu Asya’da yaygın olarak kullanılan antivirüs ürünleriyle bağlantılı olan yaklaşık 200 işlemi sonlandıracak şekilde yapılandırıldığını buldu.
Daha da kötüsü, Watchdog bir yama yayınlasa bile, saldırganlar Microsoft Authenticode imzasının kimlik doğrulanmamış zaman damgası bölümünde “tek bir bayt çevirerek” yeni sürücüyü değiştirdi. Bu değişiklik, karma tabanlı blok listelerini atlamak için yeterli olan yeni bir dosya karma yarattı, ancak geçerli imzayı kırmadı. Başka bir deyişle, Windows hala sürücüye güvenilir olarak davrandı.
Son yük, casusluk ve komut yürütme özelliklerine sahip modüler bir arka kapı olan Winos olarak da bilinen Vallereyrat’dı. Komuta ve kontrol altyapısı Çin’deki sunuculara kadar izlendi ve Silver Fox ile bir bağlantı gösterdi. Mağdurlar küresel olarak dağıtılmış gibi görünüyor, ancak hedefleme Asya’daki kuruluşlara, özellikle Çin’e doğru eğildi.
Check Point’in araştırmacıları, Watchdog sürücüsünde keyfi süreç feshinden yerel ayrıcalık artışına ve ham disk erişimine kadar birden fazla güvenlik açıkını tanımladı. En ciddi kusur, cihaz ad alanındaki uygun erişim kontrollerinin eksikliğinden geldi ve bu da ayrıcalıklı olmayan kullanıcıların bile yüklü bir şekilde kötüye kullanmasına izin verdi.
Bu kampanya, ek çek olmadan imzalı sürücülere güvenme tehlikesini göstermektedir. Microsoft’un blok listesi nadiren güncellenir, bazen yılda sadece bir veya iki kez saldırganlar için fırsat pencereleri oluşturur.
Check Point’in tam raporu teknik analiz, kavram kanıtı kodu ve uzlaşma göstergelerinin ayrıntılı bir ekini içerir.