银狐APT组织攻击再升级,利用合法驱动绕过EDR与杀软
💡
原文中文,约1500字,阅读约需4分钟。
📝
内容提要
银狐APT组织利用未公开漏洞攻击Windows系统,绕过EDR和杀毒软件。攻击者通过修改驱动签名时间戳,操控合法驱动终止恶意进程,最终注入ValleyRAT后门以获取远程访问权限。
🎯
关键要点
- 银狐APT组织利用未公开漏洞攻击Windows系统,绕过EDR和杀毒软件。
- 攻击者通过修改驱动签名时间戳,操控合法驱动终止恶意进程。
- 攻击活动使用基于Zemana反恶意软件SDK开发的WatchDog驱动,具有微软数字签名。
- 加载器会检查虚拟机和沙箱环境,并释放两个驱动以进行攻击。
- 攻击者通过自定义的EDR/AV清除逻辑注册恶意进程并终止安全服务进程。
- 银狐组织利用驱动缺乏安全标志的漏洞,实现杀毒软件规避。
- ValleyRAT后门提供远程访问能力,证实了攻击活动与银狐组织的关联。
- 攻击者通过微小修改驱动签名时间戳来规避检测机制,保持签名有效性。
❓
延伸问答
银狐APT组织是如何攻击Windows系统的?
银狐APT组织利用未公开漏洞,通过合法驱动绕过EDR和杀毒软件,最终注入ValleyRAT后门以获取远程访问权限。
攻击者是如何绕过安全防护的?
攻击者通过修改驱动签名时间戳,操控合法驱动终止恶意进程,从而绕过EDR和杀毒软件的检测。
ValleyRAT后门的功能是什么?
ValleyRAT后门提供包括命令执行和数据窃取在内的完整远程访问能力。
银狐APT组织使用了哪些驱动程序?
银狐APT组织使用了基于Zemana反恶意软件SDK开发的WatchDog驱动和传统的Zemana驱动。
攻击者如何确保加载器持续运行?
攻击者通过加载器的'Termaintor'服务确保加载器存根持续运行。
银狐APT组织的攻击活动有什么新趋势?
攻击者正在武器化合法的签名驱动,并通过操纵时间戳副署来规避静态和行为检测机制。
➡️
