Menu
攻击初始阶段,黑客部署了一个自包含的加载器,其中嵌入了多个驱动程序和反分析机制。受感染的机器首先接收该加载器二进制文件,它会对虚拟机、沙箱及已知分析环境进行检测。若检测通过,加载器会将两个驱动程序写入新建目录 C:\Program Files\RunTime:一个是用于兼容旧系统的Zemana驱动,另一个是针对现代系统的WatchDog驱动。
Check Point研究人员指出,这两个驱动随后会被注册为内核服务:Windows 7系统下的驱动注册为 ZAM.exe,而Windows 10/11系统则加载 amsdk.sys。与此同时,加载器的 “Terminator”服务保证加载器存根的持久运行,而 Amsdk_Service 则负责驱动加载。驱动注册完成后,该组织定制的EDR/AV清除逻辑会打开漏洞驱动的设备命名空间(\\.\amsdk),并通过IOCTL调用来登记恶意进程,同时终止受保护的安全服务进程。其终止流程会读取一个Base64编码的进程列表,其中包含超过190个常见的杀毒和终端防护服务条目,再利用DeviceIoControl发送 IOCTL_TERMINATE_PROCESS 命令来逐一清除这些防御进程。由于该驱动缺少 FILE_DEVICE_SECURE_OPEN 标志,且未进行PP/PPL保护检查,银狐APT得以稳定实现AV规避。
在清除安全进程后,加载器会解码并注入一个UPX压缩的 ValleyRAT 下载器模块到内存中。该模块随后连接至C2服务器,通过简单的XOR算法解密配置信息,并拉取最终的 ValleyRAT 后门。ValleyRAT(内部代号“Winos”)提供完整的远程访问能力,包括命令执行与数据窃取,从而进一步印证了此次行动的银狐APT溯源。
粤公网安备 44010402002568号