银狐APT组织攻击再升级,利用合法驱动绕过EDR与杀软
💡
原文中文,约1500字,阅读约需4分钟。
📝
内容提要
银狐APT组织利用未公开漏洞攻击Windows系统,绕过EDR和杀毒软件。攻击者通过修改驱动签名时间戳,操控合法驱动终止恶意进程,最终注入ValleyRAT后门以获取远程访问权限。
🎯
关键要点
- 银狐APT组织利用未公开漏洞攻击Windows系统,绕过EDR和杀毒软件。
- 攻击者通过修改驱动签名时间戳,操控合法驱动终止恶意进程。
- 攻击活动使用基于Zemana反恶意软件SDK开发的WatchDog驱动,具有微软数字签名。
- 加载器会检查虚拟机和沙箱环境,并释放两个驱动以进行攻击。
- 攻击者通过自定义的EDR/AV清除逻辑注册恶意进程并终止安全服务进程。
- 银狐组织利用驱动缺乏安全标志的漏洞,实现杀毒软件规避。
- ValleyRAT后门提供远程访问能力,证实了攻击活动与银狐组织的关联。
- 攻击者通过微小修改驱动签名时间戳来规避检测机制,保持签名有效性。
➡️
