近期，Makop勒索攻击事件频繁发生，攻击者使用了loldrivers技术在内核层关闭安全软件进程。在这些攻击中，发现了被使用的驱动包括ksapi64、viragt64.sys以及SysMon.sys。

由于内核层对抗具有高度的不确定性，且容易导致主机系统死机，因此现在大多数安全软件都缺乏内核层的防御手段。

勒索样本

此次攻击中使用的勒索样本具有GUI模式和命令行模式。加密后的文件名格式是{文件原名}.[{设备ID]}.[[email protected]].mkp。

图1 勒索界面与加密扩展名

勒索信文件为”+README-WARNING+.txt”，内容如下。

图2 勒索信

修改后的桌面壁纸。

图3 被修改的桌面

白利用驱动

ksapi64.Sys驱动会检查调用进程的安全上下文是否具有管理员权限，拒绝非管理员权限进程调用。其MJ_DEVICE_CONTROL分发函数中，会检查用户层输入参数是否满足特定的结构，结构符合就读取其中的目标进程PID，根据PID结束目标进程。

图4 ksapi64.sys终止进程相关逻辑

viragt64.sys驱动和SysMon.sys驱动并没有对来自用户层的调用进行额外的安全检查，只要参数结构符合就能调用。其中viragt64.sys驱动接受待结束目标进程的进程名，SysMon.sys接受待结束目标进程的PID。

图5 viragt64.sys和SysMon.sys终止进程相关逻辑

HASH

Makop

39424c69615eb1870a7ccf3dfba4420e

白利用驱动

a7681a49d1ac6efb31409f17a7011a8b

761f2e2b759389a472bd3d94141742b9

43830326cd5fae66f5508e27cbec39a0

6d5fbbb446b119cb151c97b8e16be822

1. 避免打开可疑或来历不明的邮件，尤其是其中的链接和附件等，如一定要打开未知文件，请先使用杀毒软件进行扫描。

2. 安装信誉良好的防病毒/反间谍软件，定期进行系统全盘扫描，并删除检测到的威胁，按时升级打补丁。

3. 使用官方和经过验证的下载渠道，使用正版开发人员提供的工具/功能激活和更新产品，不建议使用非法激活工具和第三方下载器，因为它们通常用于分发恶意内容。

【深信服统一端点安全管理系统aES】已支持查杀拦截此次事件使用的加载器文件。

【深信服安全托管服务MSS】以保障用户网络安全“持续有效”为目标，通过将用户安全设备接入安全运营中心，依托于XDR安全能力平台和MSSP安全服务平台实现有效协同的“人机共智”模式，围绕资产、脆弱性、威胁、事件四个要素为用户提供7*24H的安全运营服务，快速扩展持续有效的安全运营能力，保障可承诺的风险管控效果。