Silver Fox APT Grubu tarafından, tam güncellenmiş Windows 10 ve 11 sistemlerinde uç nokta algılama ve yanıtı (EDR) ve antivirüs çözümlerini atlamak için daha önce bilinmeyen savunmasız bir sürücüyü kullanan sofistike bir kampanya.
Check Point Research (CPR), 28 Ağustos 2025’te, gelişmiş kalıcı tehdit grubunun korunan süreçleri sonlandırmak ve modern güvenlik çözümlerinden kaçınmak için Watchdog antimalware sürücüsünden (AMSDK.SYS sürüm 1.0.600) yararlandığını ortaya koydu.
Zemana Anti-Malware SDK üzerine inşa edilen bu Microsoft imzalı sürücü, Microsoft’un savunmasız sürücü blok listesinde listelenmedi ve topluluk güvenlik projeleri tarafından tespit edilmedi.
Silver Fox Apt, farklı pencere sürümlerinde uyumluluğu sağlamak için çift sürücü bir yaklaşım kullandı.
Windows 7 gibi eski sistemler için saldırganlar, güvenlik önlemleri ile zaten engellenen bilinen savunmasız Zemana sürücüsünü kullandılar.
Bununla birlikte, modern Windows 10 ve 11 ortamları için, geçerli bir Microsoft imzasını koruyan ve geleneksel algılama mekanizmalarını atlayan tespit edilmemiş bekçi sürücüsünü kullandılar.
Kampanya, çoklu kötü amaçlı bileşenleri tek bir yürütülebilir dosyada birleştiren hepsi bir arada yükleyici örneklerinin etrafında toplanır.
Bu yükleyiciler anti-analiz özellikleri, iki gömülü savunmasız sürücü, güvenlik işlemlerini sonlandırmak için özel mantık ve Vallerat indirici modülünü içerir.
Saldırganlar bu araçları Windows 7 ile Windows 11 arasında sorunsuz bir şekilde çalışacak şekilde tasarladı ve yaklaşımlarını hedef sistemin sürümüne göre uyarladı.
Teknik uygulama
Yürütme üzerine, kötü amaçlı yazılım, sanal makine algılama, kum havuzu tanımlama ve hipervizör tanıma dahil kapsamlı anti-analiz kontrolleri gerçekleştirir.
Bu kontroller başarısız olursa, kötü amaçlı yazılım yürütmeyi iptal eder ve algılamayı önlemek için sahte sistem hata mesajları görüntüler.
İlginç bir şekilde, araştırmacılar, yürütmenin devam etmesine izin veren belirli bilgisayar adları (Desktop-T3N3M3Q, Desktop-03AMF90 ve WIN-VMHH95J6C26) için istisnalar keşfettiler.
Kalıcılık mekanizması, yükleyici ve uygun savunmasız sürücünün sırasıyla runtimebroker.exe ve AMSDK_Service.sys olarak saklandığı C: \ Program Files \ Runtime altında bir “çalışma zamanı” klasörü oluşturmayı içerir.
İki hizmet kurulur: “Termaintor” yükleyici için kalıcılığı korurken, “AMSDK_Service” sürücü yüklemesi için kayıt defterini yapılandırır.
Temel güvenlik açığı, WatchDog antimalware sürücüsünün korunan işlem durumunu doğrulamadan keyfi süreçleri sonlandırma yeteneğinde yatmaktadır.
Sürücü, güçlü bir DACL (İsteğe Bağlı Erişim Kontrol Listesi) ile ioCreatEdEvicesecure kullanır, ancak FILE_DEVICE_SECURE_OPEN bayrağından yoksundur ve privileged olmayan kullanıcıların bile ad alanı manipülasyonu yoluyla cihazla iletişim kurmasına izin verir.
Saldırganlar bunu belirli giriş/çıkış kontrolü (IOCTL) komutları vererek kullanırlar: önce işlemlerini IOCTL_REGISTER_PROCESS (0x80002010) ile kaydettirir, ardından IOCTL_TERINATE_PROCESS (0x80002048) kullanarak hedef güvenlik işlemlerini sonlandırır. Bu yaklaşım, tipik olarak korunan işlemler olarak çalışan uç nokta koruma ürünlerini etkili bir şekilde devre dışı bırakır.
Kampanyanın nihai hedefi, Silver Fox Apt.
Hizmet adı verildi Termaintor Hepsi bir arada yükleyicinin daha önce bırakılmış kopyası için kalıcılığı korumaktan sorumludur (RuntimeBroker.exe).
Kötü amaçlı yazılım, Xor Cipher şifrelemesine sahip şifreli kanallar kullanarak Çin’de barındırılan komut ve kontrol sunucuları ile iletişim kurar.
Vallereyat kapsamlı uzaktan gözetim yetenekleri, komut yürütme işlevselliği ve veri ekleme araçları sağlar.
Hedefleme modeli, o bölgede yaygın olarak kullanılan sertleştirilmiş güvenlik süreçleri listesi ile kanıtlandığı gibi, özellikle Çin’e, özellikle Çin’e odaklanmayı önermektedir.
Kötü amaçlı yazılım genellikle yürütülebilir dosyalar veya meşru uygulama yan yükleme tekniklerinden yararlanan dinamik bağlantı kütüphaneleri içeren .RR arşivleri aracılığıyla teslim edilir.
Satıcı yanıtı ve sürekli tehditler
CPR’nin açıklamasının ardından Watchdog, yerel ayrıcalık yükseltme vektörlerini ele alan yamalı bir sürücü (wamsdk.sys sürüm 1.1.100) yayınladı.
Bununla birlikte, araştırmacılar, yamanın, korunan süreçler için kontrollerden yoksun olduğu için keyfi süreç sonlandırma kırılganlığını tamamen çözemediğini belirtti.
Olağanüstü uyarlanabilirlik gösteren Silver Fox APT, yamalı sürücünün değiştirilmiş bir versiyonunu devam eden kampanyalarına hızla dahil etti.
Saldırganlar, sürücünün Microsoft Authenticode imzasının kimlik doğrulanmamış zaman damgası alanında tek bir bayt değiştirerek, yeni bir dosya karma oluştururken sürücünün geçerli imzasını korudu ve karma tabanlı güvenlik blok ışığını etkili bir şekilde atladı.
Bu kampanya, son nokta korumalarını atlatmak için imzalı ama gelişmez sürücülerin silahlandırılmasının artan eğilimini vurgulayan gelişmiş kalıcı tehdit taktiklerinde önemli bir evrimi temsil ediyor.
Teknik, mevcut güvenlik yaklaşımlarında büyük ölçüde imza tabanlı ve karma tabanlı algılama yöntemlerine dayanan kritik sınırlamaları ortaya koymaktadır.
Saldırı, tehdit aktörlerinin daha önce sınıflandırılmamış sürücülerden yararlanmak için bilinen güvenlik açıklarının ötesine geçtiklerini ve birçok savunma mekanizmasında kör noktalar yarattığını gösteriyor.
Microsoft imzalı bir sürücünün tam güncellenmiş sistemlerde başarılı kullanımı, modern APT operasyonlarının karmaşıklığını ve bunların güvenilir bilgi işlem ortamlarında çalışma yeteneklerinin altını çizmektedir.
Hafifletme
Güvenlik uzmanları, geleneksel algılama yöntemlerinin ötesine uzanan katmanlı savunma stratejilerinin uygulanmasını önermektedir.
Otomatik güncellemeler nadiren gerçekleştiğinden, kuruluşlar en son Microsoft Forndleged sürücü blok listesini manuel olarak uygulamalıdır. Şüpheli sürücü etkinlik modellerini tanımlayabilen davranış tabanlı algılama sistemleri, yeni sömürü tekniklerini yakalamak için gereklidir.
Kampanya, yazılım tedarik zinciri boyunca proaktif güvenlik açığı tanımlamasının ve hızlı yama dağıtımının kritik önemini vurgulamaktadır.
Güvenlik satıcıları ve kullanıcıları, güvenilir ve kötü amaçlı kod arasındaki sınırlar sofistike uygun operasyonlarda bulanıklaşmaya devam ettikçe, meşru sürücülerin ortaya çıkan kötüye kullanılmasına karşı artan uyanıklığı korumalıdır.
Bu Silver Fox APT kampanyası, tamamen yamalı, modern pencere sistemlerinin, işletim sistemi güvenlik modellerinde yerleşik temel güven ilişkilerinden yararlanan belirlenmiş rakiplere karşı savunmasız kaldığını hatırlatıyor.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.