Silver Fox APT атакует системы Windows через уязвимые подписанные драйверы

Атакующие использовали этот драйвер для завершения защищенных процессов (PP/PPL), связанных с современными решениями безопасности, что позволило обойти системы EDR (обнаружение и реагирование на конечных точках) и антивирусы на полностью обновленных Windows 10 и 11 без срабатывания сигнатурных защитных механизмов. Для обеспечения совместимости с разными версиями Windows применялась стратегия с двумя драйверами: известный уязвимый драйвер Zemana для устаревших систем и необнаруживаемый драйвер WatchDog для современных сред. Оба были встроены в автономный загрузчик, который также включал уровни защиты от анализа и загрузчик ValleyRAT.

После раскрытия информации CPR вендор выпустил исправленную версию драйвера (wamsdk.sys, версия 1.1.100). Однако, как показали дальнейшие исследования, патч не полностью устранил проблему произвольного завершения процессов. Злоумышленники быстро адаптировались и внедрили модифицированную версию исправленного драйвера в текущую кампанию. Изменив всего один байт в поле временной метки, не требующей аутентификации, они сохранили действительную подпись Microsoft, но получили новый хэш файла, что позволило обойти блокировки на основе хэшей. Эта техника уклонения напоминает методы, наблюдавшиеся в earlier кампаниях.

Конечной полезной нагрузкой во всех наблюдаемых образцах был ValleyRAT - модульный троян удаленного доступа, связанный с Silver Fox APT, чья инфраструктура расположена в Китае. Данная кампания подчеркивает растущую тенденцию использования подписанных, но уязвимых драйверов для обхода защиты на конечных точках и уклонения от статического обнаружения.

Ключевые находки

В конце мая 2025 года была зафиксирована атака на системы Windows с использованием специального загрузчика, который использовал драйверы ядра для завершения процессов, связанных с безопасностью. Эта кампания ознаменовала собой значительный сдвиг от использования только известных уязвимых драйверов к развертыванию ранее неклассифицированного подписанного уязвимого драйвера, который обходил традиционные механизмы обнаружения.

Основное внимание было сосредоточено на двух драйверах, происходящих из Zemana Anti-Malware SDK. Первый, драйвер Advanced Malware Protection (ZAM.exe, версия 3.0.0.000), давно известен своими слабыми местами и заблокирован Microsoft. Его включение в кампанию было обусловлено необходимостью обеспечить совместимость со старыми системами, такими как Windows 7.

Еще более критичным было то, что атакующие использовали драйвер WatchDog Antimalware (amsdk.sys, версия 1.0.600), который, несмотря на то, что имел ту же базу SDK, не был публично известен как уязвимый, не входил в какие-либо списки блокировки и был подписан Microsoft, что позволяло загружать его даже на полностью обновленные системы Windows 10/11.

Каждый проанализированный образец вредоносного ПО представлял собой автономный загрузчик, состоящий из: заглушки загрузчика с настройками противодействия анализу и постоянства, двух встроенных уязвимых драйверов, настраиваемой логики для прекращения процессов безопасности на основе жестко запрограммированного списка и модуля загрузчика ValleyRAT, настроенного на прием и установку конечной полезной нагрузки.

За короткий период мониторинга кампания эволюционировала и стала включать несколько вариантов этих загрузчиков и комбинаций драйверов. Некоторые образцы интегрировали новые драйверы, уязвимость которых еще не была известна, что свидетельствует о постоянных усилиях по уклонению от обнаружения и обходу обновленных средств защиты.

После раскрытия информации CPR компания Watchdog выпустила исправленную версию драйвера WatchDog Antimalware (wamsdk.sys, версия 1.1.100). Хотя этот патч смягчил векторы локального повышения привилегий (LPE), обновленный драйвер по-прежнему позволял произвольно завершать процессы, включая защищенные, тем самым не полностью закрывая исходный вектор атаки. CPR сообщила об этой оставшейся проблеме поставщику.

Вскоре после этого был обнаружен новый образец, злоупотребляющий модифицированной версией исправленного драйвера, который снова был отнесен к той же группе APT. Атакующие изменили один байт в поле недоверенной временной метки в структуре подписи Microsoft Authenticode драйвера. Поскольку это поле не охватывается основным дайджестом подписи, драйвер оставался действительным и доверенным для Windows, представляя новый хеш файла и обходя списки блокировки на основе хешей. Эта техника обхода отражает техники, наблюдавшиеся в предыдущих кампаниях.

Конечной полезной нагрузкой во всех образцах является ValleyRAT, также известный как «Winos». Этот RAT предлагает полный набор возможностей для удаленного наблюдения, выполнения команд и экстракции данных. Его использование, наряду с инфраструктурой, размещенной в Китае, и целевыми списками процессов безопасности, связанных с восточноазиатскими поставщиками, подтверждает причастность к кампании Silver Fox APT.

Технический анализ

Все проанализированные образцы развертываются как автономные загрузчики. Загрузчик состоит из нескольких частей: фиктивного компонента, который реализует методы противодействия анализу и настраивает постоянство, двух встроенных уязвимых драйверов, логики отключения EDR/AV и модуля загрузчика ValleyRAT с конфигурацией.

При запуске образец выполняет несколько общих проверок для противодействия анализу, таких как Anti-VM (обнаружение виртуальных сред), Anti-Sandbox (обнаружение выполнения в песочнице), обнаружение гипервизора и другие. Если какая-либо из этих проверок завершается неудачно, выполнение прерывается и отображается поддельное системное сообщение об ошибке.

Для обеспечения постоянства загрузчик создает папку RunTime в системном пути C:\Program Files\RunTime. Автономный образец загрузчика и соответствующая версия уязвимого драйвера, выбранная в зависимости от версии ОС Windows, помещаются в эту папку с именами RuntimeBroker.exe и Amsdk_Service.sys соответственно. Затем создаются специальные службы для обеспечения автоматического выполнения при запуске системы.

Встроенные полезные нагрузки используют комбинацию шестнадцатеричного кодирования и Base64. Две из закодированных полезных нагрузок представляют собой различные уязвимые драйверы, используемые логикой отключения EDR/AV. В зависимости от обнаруженной версии Windows на зараженной системе развертывается только одна из них.

Старый драйвер — это 64-разрядный драйвер Advanced Malware Protection с действительной подписью, ZAM.exe, версия 3.0.0.000. Этот драйвер уже известен как уязвимый и обнаруживается как LOLDrivers, так и Microsoft Vulnerable Driver Blocklist. Он используется только в том случае, если на зараженной системе установлена более старая версия Windows (например, Windows 7).

Новый драйвер — это 64-разрядный, подписанный надлежащим образом драйвер WatchDog Antimalware, amsdk.sys, версия 1.0.600. Ранее этот драйвер не был известен как уязвимый и обходит как LOLDrivers, так и список блокировки Microsoft. Он используется только в том случае, если на зараженной системе установлена современная версия Windows (например, Windows 10 или 11).

Конечная встроенная полезная нагрузка представляет собой закодированный модуль загрузчика ValleyRAT, включая его жестко запрограммированную конфигурацию.

Уязвимость драйвера

Хотя загрузчики, описанные в предыдущем разделе, могут злоупотреблять двумя версиями уязвимых драйверов, оба они основаны на Zemana Anti-Malware SDK. Здесь основное внимание уделяется драйверу, который ранее не был известен как уязвимый, несмотря на практически идентичные способы эксплуатации и воздействие.

Злоупотребляемый драйвер, WatchDog Antimalware driver версии 1.0.600, является 64-разрядным, действительно подписанным драйвером устройства ядра Windows. Он по-прежнему активно используется и изначально был частью продукта Watchdog Anti-Malware.

Детальная проверка его кода подтвердила, что драйвер WatchDog Antimalware основан на Zemana Anti-Malware SDK. Некоторые части кода были изменены разработчиками WatchDog Antimalware, в частности те, которые отвечают за создание драйвера устройства. Эти изменения, вероятно, были сделаны в ответ на хорошо известные уязвимости, затрагивающие драйверы, полученные из Zemana Anti-Malware SDK.

Поскольку этот драйвер подписан Microsoft (Microsoft Windows Hardware Compatibility Publisher), его можно загрузить и использовать даже на последних полностью обновленных системах Windows 10/11. Кроме того, из-за разнообразия драйвера WatchDog Antimalware общие механизмы обнаружения и предотвращения, такие как LOLDrivers и Microsoft Vulnerable Driver Blocklist, охватывающие драйверы «Zemana», неэффективны против драйвера WatchDog Antimalware. В результате нет никаких препятствий для его использования.

Несмотря на изменения в кодовой базе, направленные на устранение известных уязвимостей в драйверах Zemana, драйвер WatchDog Antimalware остается уязвимым с аналогичными последствиями, включая LPE, неограниченный доступ на чтение/запись к необработанному диску, произвольное завершение процессов и многое другое.

IPv4

• 1.13.249.217
• 156.234.58.194
• 156.241.144.66
• 47.239.197.97
• 8.217.38.238

IPv4 Port Combinations

• 1.13.249.217:9527
• 1.13.249.217:9528
• 156.234.58.194:52110
• 156.234.58.194:52111
• 156.241.144.66:52139
• 156.241.144.66:52160
• 47.239.197.97:52116
• 47.239.197.97:52117
• 8.217.38.238:8888

SHA256

• 09587073acbfec909eea69aa49774b3fdaa681db9cec7cb20a4143050897c393
• 0be8483c2ea42f1ce4c90e84ac474a4e7017bc6d682e06f96dc1e31922a07b10
• 12b3d8bc5cc1ea6e2acd741d8a80f56cf2a0a7ebfa0998e3f0743fcf83fabb9e
• 2f0e34860194ccd232f7c8c27fefe44c96b63468e8581f93c38767725255f945
• 35ccb9c521c301e416a3ea0c0292ae93914fe165eb45f749c16de03a99f5fa8e
• 57f37bc0519557cf3f4c375fd04900a4d5afb82e3b723c6b9d0f96dc08eea84d
• 5f23694d44850c1963b38d8eab638505d14c5605e9623fb98e9455795fa33321
• 9c394dcab9f711e2bf585edf0d22d2210843885917d409ee56f22a4c24ad225e
• 9e72b958b4ad9fdf64b6f12a89eb2bae80097a65dc8899732bce9dafda622148
• b26aecc21da159c0073ecde31cc292d87c8674af8c312776d2cc9827e5c1ad6a
• baccea051dc6bb1731fa2bc97c5e0cc2cd37463e83bf73a400451ad7ba00a543
• d24fffc34e45c168ea4498f51a7d9f7f074d469c8d4317e8e2205c33a99b5364
• fc97ad46767a45f4e59923f96d15ec5b680a33f580af7cc4e320fb9963933f26