查看: 1871|回复: 12
收起左侧

[IT业界] 恶意驱动Netfilter rootkit终极进化,360安全卫士“斩尽杀绝”为安全加码

[复制链接]
朦胧的风
发表于 2021-7-24 23:18:12 | 显示全部楼层 |阅读模式
  近日,360安全大脑监测发现,在6月中旬被爆出拥有WHQL签名的恶意驱动“Netfilter rootkit”,WHQL签名是指硬件的驱动程序通过了微软认证之后,微软会给驱动程加上一个“Microsoft Windows Hardware Compatibility Publisher”的数字签名。Netfilter rootkit如今已更新至第二代并继续持有微软签名。 而且升级后的Netfilter rootkit隐蔽性大增,以至于在线杀毒网站virustotal上至今仍无任何杀软报出。

  鉴于Netfilter rootkit第二代在功能与名称与之前版本均有所区别,360安全团队将其命名为“NetRedirect rootkit”。尽管NetRedirect rootkit有着极强的隐蔽性和危害性,但360安全卫士依然能够实现定向防御和彻底查杀,从根本上解决用户的安全难题。



  事实上,早在6月25日,微软安全响应中心便表示已经暂停Netfilter rootkit的账户,并审查其签发的其他文件,“根据我们的零信任和分层防御安全态势,我们通过 Microsoft Defender for Endpoint 内置检测和阻止此驱动程序和相关文件。”然而,与其高度同源、行为相似的二代产品——NetRedirect rootkit,至今依然拥有微软签名,使其隐蔽性和查杀难度大幅提高。

  除此之外,NetRedirect rootkit的危害性也有了明显提升。鉴于NetRedirect rootkit云控下发rootkit的方式,当前该恶意厂商完全有能力不仅限于IP劫持功能,而能够在中毒机器上,实现任意恶意行为rootkit的执行。



  而且,区别于上一代Netfilter rootkit校验自身文件md5实现文件自更新,NetRedirect rootkit采取了伪装驱动与恶意驱动分离的形式,真正的恶意驱动以云控的方式存放在木马C & C服务器上,而本地伪装为WFP网络过滤功能的驱动,则负责向服务器请求恶意文件数据,以内存加载的的隐蔽方式,调用rootkit入口地址。在此基础上,未来NetRedirect rootkit的行为将变得越来越难以预测。

  总而言之,前不久Windows 11 所宣传的TPM和Secure Boot安全功效,对于拥有WHQL签名,能够在Secure Boot 机器上加载的NetRedirect rootkit来说,并不能达到防护效果。



  不过广大用户无需担心,在360安全卫士准确、实时和智能的保护下,此类rootkit无法绕过360安全卫士基于行为的检测,360安全大脑赋能的新一代防御技术可以做到防患于未然,亦可对中毒机器进行彻底查杀。与此同时,360安全大脑还建议广大用户:

  1、前往//weishi.360.cn/下载安装360安全卫士进行防护。

  2、对于被360安全卫士拦截的不熟悉的软件,不要继续运行和添加信任。

  3、如果已不慎感染该木马,可前往//weishi.360.cn/下载安装360安全卫士,使用360安全卫士的查杀服务。

http://news.yesky.com/404/725774904.shtml
尘梦幽然
发表于 2021-7-25 07:43:15 | 显示全部楼层
本帖最后由 尘梦幽然 于 2021-7-25 07:44 编辑
鉴于Netfilter rootkit第二代在功能与名称与之前版本均有所区别,360安全团队将其命名为“NetRedirect rootkit”

笑死Trojan.Generic
yyz219
头像被屏蔽
发表于 2021-7-25 07:57:52 | 显示全部楼层
本人不用360
柯林
发表于 2021-7-25 08:58:47 | 显示全部楼层
早就说过,现在这些证书啊、签名啊,管理存在问题——发个签名就不管了,管它匹配多少程序,不出乱子才怪!
正确的姿势:某一签名认定有效,但只有该签名下的几个{xxxx-xxxxxxxx-xxxxx-xxxx}有效,且这些{xxxx-xxxxxxxx-xxxxx-xxxx}对应的正确哈希值才有效,否则都是“等待审查,暂未可用”
ask007
发表于 2021-7-25 09:24:43 | 显示全部楼层
说不定是360自己造的
尘梦幽然
发表于 2021-7-25 12:39:33 | 显示全部楼层
青山永恒 发表于 2021-7-25 09:13
360似乎只有主页保安系列报的是完整的rootkit病毒名。

主页保安是什么产品啊
swizzer
发表于 2021-7-25 17:58:01 来自手机 | 显示全部楼层
基于行为的检测,指拉黑驱动然后阻止加载吗?
ANY.LNK
发表于 2021-7-25 21:16:13 | 显示全部楼层
问题是360方面有没有向微软方面提供相关消息,有没有将此消息向其他安软厂商分享?
如果仅360自己能查杀的话,那对于那些不用360的用户来说可不是个好消息

此外,这个骗微软签名的应该是个有一定规模的组织,拥有多个账户,微软最好重新审查所有的已签名WHQL驱动
沧桑浪子
发表于 2021-7-26 09:43:07 | 显示全部楼层

Trojan.Generic 这个报法好像是人工拉黑的

评分

参与人数 1人气 +1 收起 理由
尘梦幽然 + 1

查看全部评分

SUARP-BIGNUM
发表于 2021-7-26 18:42:12 | 显示全部楼层
沧桑浪子 发表于 2021-7-26 09:43
Trojan.Generic 这个报法好像是人工拉黑的

不一定是人工拉黑,有可能是机器学习拉黑的。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-25 06:50 , Processed in 0.141574 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表