高质量WHQL Rootkit样本和释放器一枚，VT 0 报毒

ANY.LNK

从一个求助者那里找到的，他的所有安全软件均无法启动。在此之前，他曾使用过Steam低价激活工具激活游戏。最后用了火绒专杀再加一遍正常模式扫描解决的


VT链接：
https://www.virustotal.com/gui/f ... 169f579b3?nocache=1

样本：https://pan.lbyxlz.com/s/7pnco，
次日衍生物更新↓

，https://pan.lbyxlz.com/s/ZYkSW

使用了@lbyxlz 的网盘，因为huang1111盘无法上传文件了

稍后我会对其进行分析


静态分析：

少有的没有加壳的WHQL样本。

16进制编辑器获得的信息：

拦截安全软件的相关函数。


明文编码的要干掉的进程名称，包含多款安全软件的进程



↑
包含Microsoft Defender（Microsoft Security Essentials）、360、火绒、金山毒霸、瑞星、江民、Kaspersky（卡巴斯基）、McAfee（迈克菲）、腾讯电脑管家等

PDB路径：



（D:\workproject\myproject\WinTool\Solution\x64\Release\AccPtFlt.pdb）

疑似卸载模块：



疑似载入模块：


疑似获取信息的监控模块：


文件属性等：



签名等：



反汇编源代码得到的信息：

导入的函数：



注册过滤器实例：


卸载过滤器：


查询进程信息：




结束指定的进程（内核）：


匹配指定的应用信息并拦截其启动：

---

动态分析：

无法像其他WHQL Rootkit一样通过sc create、sc start进行加载启动，会在启动时蓝屏。


蓝屏代码：DRIVER_UNLOADED_WITHOUT_CANCELING_PENDING_OPERATIONS


并且会导致系统无法启动，反复蓝屏重启直至进入启动修复


所以此处使用原装的释放器进行测试：

双击，驱动成功加载。


↑Boot启动组的，也是上边反复蓝屏重启进不去系统的原因


↑文件系统过滤驱动，同之前静态分析的监控拦截指定应用的启动的结果相符





并且立即结束了Defender的相关进程和服务，使其防御失效（同16进制编辑器里看到的结果相符）





目前没有观察到异常外连







尾声：

目前，对于此样本的分析表明：其功能主要为对抗指定的安全软件。包括但不限于结束正在运行的安全软件和分析工具，过滤并拦截内置的黑名单中指定名称的应用程序启动等。

该驱动没有添加诸如VMProtect等常见的壳，因而存在绕过Device Guard（内核隔离）的可能。目前实测已成功在最新的Windows 11上加载并运行，做到了曾经的FiveSys（或者叫Fu-Rootkit，卡饭名称，C&C同源或相同）所不能做到或受限制的部分。

在微软加大对开启“内核隔离”等设备安全性的推广，不断添加各种安全措施的现在，此事件仍然值得敲响警钟。在本次事件中，该驱动的功能几乎没有添加任何掩饰，各种执行逻辑清晰的展现在分析者眼前，但它仍然通过了微软的驱动审核，堂而皇之地被恶意软件作者用于清除安全软件的障碍，从基础信任上击破了微软的安全措施。这可能会进一步加剧微软的驱动签名的信任危机。

由于微软在鉴定完毕后为带WHQL的样本添加检测时经常存在长期不添加检测直至超时的问题，因而在面对这种仅靠驱动即完成所有的操作（如结束Defender进程等）可能会很吃力。（可能是为了规避微软的自动上报检测，该EXE添加了非infected密码，使得上报后微软的自动机自动拒绝分析该文件）
←对于该驱动的植入EXE的上报结果

←上一个（2周前）上报的的WHQL的当下结果是截至发帖时仍未入库

目前已在火绒论坛上和微软社区内观察到有相当数量的受害者发帖求助，几乎都是安全软件打不开，提示没有权限访问指定的项目，因此这之后可能会有专门的安全公司发布分析报告
2023.5.29更新，微软为该驱动专门添加了一个分类Trojan:Win64/AccRootkit!MTB，但很奇怪的是尚未完成入库就直接Completed了

2023.6.3更新，微软已添加检测

---

依据@wowocock 的说法，蓝屏的原因是因为该驱动的编写水平太烂了


备注：标题中的“高质量”针对其初期的免杀效果，不代表此样本的编程水平

anthonyqian

ANY.LNK 发表于 2023-5-28 00:19
目前就是在等谁先入库。各家大多处于观望状态。

以下是微软的回复：

ESET在分析样本的时候，还入库了一个衍生物https://www.virustotal.com/gui/f ... 4336aa156/detection，检测名和恶意驱动一样

wowocock

花1分钟看了下，何来高质量一说？就进程创建，进程枚举，和文件微过滤根据明文，来阻止进程创建，及杀进程。都不如N年前的独狼系列，人家好歹还把字符串加密下。更不用说那坑爹的基本逻辑问题，MINIFILTER里因为注册表没设置，导致MINIFILTER注册失败，那也算了，还去做后面的注册进程回调，然后还返回前面注册失败的错误码，导致系统卸载了该驱动，而进程回调还在，你不蓝谁蓝？这种低级错误。明显感觉不会写驱动，也没认真测试过。

莒县小哥

UNknownOoo

火绒
扫描：拉黑驱动，特征杀exe和驱动

祸兮福所倚

360kill

dght432

呵呵大神001

Cylance 静态

GreatMOLA

Norton
A杀

anthonyqian

ESET missed，已上报

jumgg265

卡巴 miss 已上报

post88

avast idp 拦截