概述
不久前,蓝军APT团队发布了威胁预警《银狐最新样本引入BYOVD技术》,预警披露了攻击者通过自行开发的恶意程序直接安装和滥用米哈游反作弊驱动mhyprot.sys的行为,该行为会产生可疑的驱动安装日志,也正因此,蓝军APT团队很快发现了攻击痕迹。
而在本轮攻击活动中,攻击者通过白加黑DLL劫持的方式致使合法应用程序恶意代码执行,这使得恶意代码执行和VulnDriver安装都由合法应用程序完成,攻击链路看起来就好像是用户正常下载了某软件,随后该软件正常进行驱动安装。这与蓝军APT团队此前预设的攻击者通过正常软件安装,或用户使用旧版软件或久不更新的开源工具等引入VulnDriver的场景极为类似。
蓝军APT团队结合BYOVD场景监控和IOA行为监控发现了此次威胁。
命中详情
11.30日蓝军APT团队监控到米哈游反作弊驱动mhyprot.sys的异常安装,奇怪的是,这一行为似乎由正常的应用程序所发起
为了校验这一异常,蓝军APT团队结合IOA引擎审计了该终端的其它行为日志,并最终发现攻击者通过释放合法应用程序到用户目录,再通过白加黑DLL劫持致使该合法程序恶意代码执行的攻击链路(用于劫持的黑DLL现已被VT标记)
随后,蓝军APT团队在VT上关联到了一个名为“killav.zip”的压缩包,解压之后发现其为类似的攻击组件,该组件中的黑DLL在VT上的查杀率极低,或为升级版本
处置建议
排查用户目录下是否存在可疑文件。
总结
在上一篇威胁预警中,攻击者通过自行开发的恶意程序直接安装和滥用VulnDriver,这将产生明显的可疑日志,非常利于检测。
但此外,攻击者还可通过正常的应用软件安装引入VulnDriver,类似于本轮的劫持攻击。更为严重的是,结合目前的运营情况来看,大量用户在遭受攻击之前就因使用旧版软件或久不更新的开源工具等,自行将VulnDriver加载到了自身环境,一旦被入侵,攻击者可直接滥用用户自行安装的VulnDriver开展攻击,这将导致攻击环节和攻击痕迹的减少。
在过往文章《魔高一尺?深瞻“道高一丈”!aES新模块上线即发现高危恶意驱动》中也曾提及这个问题,建议用户尽量避免使用存在漏洞的旧版软件,以免引入内核漏洞。