Silver Fox расширяет арсенал: Еовая уязвимость в драйвере STProcessMonitor (CVE-2025-70795) позволяет отключать антивирусное ПО

Контекст угрозы и значимость инцидента

Группа Silver Fox (Серебряная лиса) известна своей агрессивной тактикой противодействия системам безопасности. Вместо того чтобы обходить защиту, злоумышленники активно атакуют её, используя технику BYOVD. Суть метода заключается в загрузке легитимного, но содержащего ошибки драйвера, который затем используется для привилегированных операций в ядре, например, для принудительного завершения процессов антивирусов и EDR-систем.

Новым элементом в арсенале группы стал драйвер "STProcessMonitor.sys", подписанный компанией Safetica Technologies s.r.o. и имеющий сертификат WHQL (Windows Hardware Quality Labs) от Microsoft. Дата подписания - 9 мая 2025 года - указывает на его относительную «свежесть». Критическая уязвимость в этом драйвере заключается в том, что он без должной проверки прав доступа предоставляет пользовательским приложениям интерфейс для завершения любого процесса в системе через управляющий код (IOCTL) "0xB822200C". Это позволяет вредоносной программе, получившей доступ к драйверу, бесконтрольно «убивать» процессы защитного ПО.

Детальный анализ цепочки атаки

Атака начинается с исполняемого файла, упакованного с помощью Inno Setup. Его хеш SHA-256: "3ba89047b9fb9ae2281e06a7f10a407698174b201f28fc1cadb930207254e485". Внутри установщика скрыты зашифрованные и разделённые части файлов, которые в процессе выполнения собираются воедино с помощью встроенного скрипта. Этот скрипт, подвергнутый обфускации, выполняет серию действий: распаковывает полезную нагрузку в каталог "C:\Users\Public\Documents", удаляет следы и, что критически важно, реализует логику уклонения от защиты.

Особое внимание злоумышленники уделили двум популярным решениям: встроенному Защитнику Windows (Microsoft Defender) и 360 Safeguard. Скрипт проверяет, запущен ли процесс "MsMpEng.exe" (ядро Защитника). Если да, то с помощью PowerShell добавляет рабочие каталоги вредоноса в список исключений антивируса, что делает их «невидимыми» для сканирования. Более изощрённая логика применяется к 360 Safeguard. Сначала скрипт через WMI (Windows Management Instrumentation, инструментарий управления Windows) ищет процессы "360Tray.exe" или "QQPCTray.exe". Если они обнаружены, что свидетельствует об активной защите, вредоносный код включает встроенный брандмауэр Windows командой "netsh advfirewall set allprofiles firewallpolicy blockinbound,blockoutbound", эффективно отрезая компьютер от сети. Это лишает защитное ПО возможности получать обновления сигнатур или отправлять оповещения в облако. Только после этого выполняется основная вредоносная логика.

Ядро атаки: эксплуатация уязвимого драйвера

После подготовки окружения запускается основной модуль "KANG.exe" (SHA-256: "9ace6a1e4bee5834be38b4c2fd26780d1fcc18ea9d58224e31d6382c19e53296"). Его задача - физически устранить конкурирующие процессы безопасности. В его коде жёстко зашит список из 25 исполняемых файлов, включая продукты 360, Tencent PC Manager, Kingsoft Duba, Huorong и Windows Defender.

Для их завершения модуль не использует стандартные API Windows. Вместо этого он распаковывает из своих ресурсов и загружает в систему тот самый уязвимый драйвер "STProcessMonitor.sys". Драйвер создаёт устройство "\\.\STProcessMonitorDriver". Далее "KANG.exe" для каждого PID из своего «чёрного списка» отправляет драйверу управляющий код "0xB822200C". Обработчик этого кода в драйвере, находясь на уровне ядра с максимальными привилегиями, немедленно завершает указанный процесс без каких-либо проверок.

Углубление в систему: руткит и постоянство

Параллельно работает другой компонент - "StartMenuExperienceHostker.exe". Его функции ещё более глубоки. Во-первых, он обеспечивает постоянное присутствие в системе, регистрируя себя в Планировщике заданий Windows под именем "WindowsPowerShell.WbemScripting.WindowsData". Более того, он модифицирует списки контроля доступа (DACL) файла этой задачи, что делает её практически неудаляемой стандартными средствами без восстановления прав.

Во-вторых, этот модуль загружает собственный драйвер "C:\Cndom6.sys". Анализ показал, что этот драйвер использует сложную технику "InfinityHook" для перехвата системных вызовов ядра, таких как "NtQuerySystemInformation" и "NtOpenProcess". Это позволяет вредоносу скрывать свои процессы и потоки от средств мониторинга, делая его почти необнаружимым для большинства EDR-решений. Драйвер активируется отправкой IOCTL "0x222180".

Финальный этап: установка удалённого доступа

Конечная цель всей этой многоступенчатой операции - установка полнофункционального трояна удалённого доступа (RAT) WinOs. Финальный модуль "log.dll" внедряется в легитимный процесс через DLL-спуфинг (подмену библиотек), загружаясь из "WUDFCompanionHoste.exe". Он расшифровывает конфигурацию из файла "Server.log" и устанавливает соединение с командным сервером "uuuucome.com:5050". После этого злоумышленники получают полный контроль над заражённой системой, превращая её в «зомби» для дальнейших атак, сбора данных или распространения вредоносного ПО.

Рекомендации по защите и выводы

Обнаружение CVE-2025-70795 и её активное использование группой «Серебряная лисица» подчёркивает несколько тревожных тенденций. Во-первых, злоумышленники перешли от использования известных уязвимых драйверов к активному поиску и эксплуатации совершенно новых, ещё не описанных в базах. Во-вторых, комплексность атак, сочетающая уклонение от защиты, привилегированное выполнение кода в ядре и методы обеспечения постоянства, требует не менее комплексного подхода к защите.

Для специалистов по информационной безопасности рекомендуются следующие меры:

• Блокировка уязвимых драйверов: Используйте политики, такие как «Блокировка уязвимых драйверов» в Microsoft Defender для конечных точек, или решения вроде HVCI (Hypervisor-Protected Code Integrity), чтобы предотвратить загрузку неподписанных или непроверенных драйверов.
• Контроль целостности процессов (PPL): Включите и настройте защиту защищённых процессов (Protected Process Light) для критических компонентов безопасности. Процессы, защищённые PPL, не могут быть завершены даже из ядра с помощью описанной техники.
• Расширенный мониторинг EDR: Настройте правила обнаружения подозрительных действий, таких как массовое завершение процессов безопасности, загрузка драйверов из пользовательского режима, добавление исключений в Защитник Windows или резкое изменение сетевых правил брандмауэра.
• Анализ поведения, а не сигнатур: Поскольку компоненты атаки используют обфускацию и легитимные подписи, упор должен делаться на обнаружение аномальных последовательностей действий и аномального поведения процессов, а не на поиск конкретных хешей файлов.
• Актуализация баз уязвимых драйверов: Следите за обновлениями репозиториев, таких как "LOLDrivers" (Living Off the Land Drivers), и оперативно вносите новые обнаруженные драйверы в чёрные списки систем защиты.

Инцидент с драйвером STProcessMonitor - это наглядный пример эскалации киберконфликта, где битва за контроль над ядром операционной системы становится решающей. Для эффективного противодействия подобным угрозам организациям необходимо сочетать технические средства защиты самого высокого уровня с глубокой экспертизой и оперативным реагированием команд SOC (Security Operations Center, центр управления информационной безопасностью).

IPv4 Port Combinations

• 8.210.25.225:5050

Domain Port Combinations

• uuuucome.com:5050

SHA256

• 305a1c784db4e88267f1d35b914b6ce4702f2b1196c1cdf14c024d63d1d4871f
• 3ba89047b9fb9ae2281e06a7f10a407698174b201f28fc1cadb930207254e485
• 5b4f59236a9b950bcd5191b35d19125f60cfb9e1a1e1aa2e4f914b6745dde9df
• 70bcec00c215fe52779700f74e9bd669ff836f594df92381cbfb7ee0568e7a8b
• 8c12407a40eab287a8281be64665b1e72b0e91b2daf84030a1a15dc280e5dbf1
• 9ace6a1e4bee5834be38b4c2fd26780d1fcc18ea9d58224e31d6382c19e53296
• a14b681ec50328d3ac04f76ac18ef96fb7176425ff96325e2099ea57df3a1998
• cf111e28e40d20c9695e191c66b11882049c9559d5b4f2ed2090cf4626fdba39