1 байт — и Windows 11 оказалась беззащитной. Хакеры отключили антивирус одним изменением

leer en español

Check Point Silver Fox Microsoft ValleyRAT Zemana BYOVD
1 байт — и Windows 11 оказалась беззащитной. Хакеры отключили антивирус одним изменением
Check Point Silver Fox Microsoft ValleyRAT Zemana BYOVD

Вы думали, что у вас самый надёжный антивирус, а он уже давно не работает.

image

APT-группа Silver Fox внедрила в атакующие цепочки ранее неизвестный уязвимый драйвер WatchDog Antimalware, подписанный Microsoft. Через него злоумышленники отключают защиту даже на полностью обновлённых Windows 10 и 11 и беспрепятственно доставляют троян ValleyRAT.

Специалисты Check Point Research зафиксировали текущую кампанию с использованием драйвера amsdk.sys версии 1.0.600 — он построен на SDK Zemana Anti-Malware, не попадает в список Microsoft Vulnerable Driver Blocklist и не зарегистрирован в сообществах типа LOLDrivers. Хотя компонент формально подписан Microsoft, он позволяет атакующим завершать процессы с защитой PP/PPL, отключая даже современные решения класса EDR и AV без срабатывания сигнатурных детекторов. Используется схема BYOVD с двухдрайверным загрузчиком: на старых системах работает известный ZAM.exe от Zemana, а на актуальных — нераспознанный ранее драйвер WatchDog. Оба драйвера встроены в загрузчик, который также включает антианализ, логику ликвидации процессов и загрузчик ValleyRAT.

После раскрытия уязвимости вендор выпустил исправленную версию драйвера (wamsdk.sys 1.1.100), устранив проблему локального повышения привилегий через DACL и FILE_DEVICE_SECURE_OPEN. Однако основная проблема — произвольное завершение процессов, включая PP/PPL — осталась. Атакующие оперативно адаптировали код, изменив всего 1 байт в неаутентифицированной части подписи драйвера, чтобы сохранить подпись Microsoft, но обойти блокировки по хешу. Этот изящный обход делает даже новые патчи уязвимыми при текущем подходе к валидации подписей.

Финальной нагрузкой во всех зафиксированных образцах остаётся ValleyRAT (Winos) — модульный RAT с инфраструктурой в Китае. Все его стадии — от загрузчика до бекдора — реализованы как самостоятельные 64-битные PE-файлы с UPX-паковкой, антианализом (Anti-VM, Anti-Sandbox, ISP/ORG-фильтрацией по API ip-api.com), кодированными строками (Base64 + hex), шифрованием XOR и инжектами в svchost.exe. Сценарий доставки — через .rar-архив с .exe или .dll, внедряемой методом DLL Sideloading через легитимное приложение. Конфигурация C2-серверов жёстко зашита, IP-адреса и порты записаны в обратном порядке, в частности 156[.]234[.]58[.]194:52110 и :52111.

Инструмент антианализа (EDR/AV-killer) использует две IOCTL-команды: 0x80002010 для регистрации собственного процесса в разрешённом списке и 0x80002048 для завершения нужных процессов. Список целей включает 192 имени, преимущественно антивирусы и EDR-продукты, широко используемые в Китае. Анализатор также обнаружил проверку названий окон для отслеживания песочниц и отложенного запуска при их обнаружении (через EnumWindows), что добавляет устойчивости к анализу.

Базовая уязвимость драйвера WatchDog — в создании устройства с «жёстким» DACL, но без флага FILE_DEVICE_SECURE_OPEN, что позволяет обойти ограничения и обращаться к устройству из любого контекста. Дополнительные уязвимости включают LPE, произвольное завершение процессов, прямой доступ к диску (IOCTL_SCSI_READ / WRITE) и захват дескрипторов процессов (IOCTL_OPEN_PROCESS).

По данным CPR, активность группы Silver Fox продолжается. Несмотря на уведомление MSRC и частичную блокировку, в цепочках уже используется модифицированная версия wamsdk.sys, собранная на основе патчированного, но не полностью защищённого драйвера. Подпись остаётся действительной, так как модификация коснулась лишь части, не проверяемой основной подписью. Это серьёзная проблема, поскольку файл проходит все проверки доверия Windows, но уже имеет уникальный хеш, обходя блокировки по сигнатурам.

ValleyRAT продолжает использовать те же методы, что были описаны в предыдущих исследованиях: загрузка в память, обход DllMain, фоновая активность без следов на диске и модульная архитектура с удалённой конфигурацией. Он позволяет удалённо исполнять команды, шпионить, эксфильтровать данные и загружать дополнительные модули. Исследователи призывают обновить список Microsoft Vulnerable Driver Blocklist вручную (по умолчанию он обновляется редко), использовать кастомные YARA-правила и переходить к поведенческому анализу — статических сигнатур и даже проверок подписей уже недостаточно.