【统计帖】论坛中的 WHQL Rootkit 发展史

ANY.LNK

本贴旨在尽可能统计在论坛中捕获的WHQL Rootkit。顺带拷打一下微软


近年来出现的WHQL Rootkit家族如下：

1.FiveSys / FuRootkit 家族 （UNC-3944？POORTRY？STONESTOP？）（Operation: Elnino Monsoon / Fu Monsoon / APT-K-01）

自2020年底首次在论坛被发现以来长期、持续地更新至今

特征：

该家族的驱动程序多带有有效的WHQL签名、VMProtect壳、劫持AutoConfigURL注册表项、禁用UAC、云控下发更多组件、验证运行环境和配置是否符合运行条件、R0和R3组件互保、使用随机名称作为驱动名等
疑似通过开设驱动程序签名代签服务，在客户向微软提交的正常驱动程序中加入恶意代码的方式进行WHQL Rootkit的制作并传播

攻击对象：

游戏行业尤其是私-Fu行业

命名原因：

该家族的早期系列样本中反复出现的明文字符串“FiveSys”和开发驱动的PDB路径中的“FiveSys”；后期该组织为了加强隐蔽性抹除了该字符串，仅保留上游的和之前高度同源的C&C服务器，此时论坛中多以“传奇私-Fu Rootkit”或直接以“WHQL Rootkit”命名，名称传到国外，Fu被误认为是该Rootkit的家族名称，进而得名Fu Rootkit。

其他相关：

论坛中大部分出现的WHQL Rootkit都为该家族成员


2.Netfilter 家族 （Attack: FiltTheMS）

2021年初出现，活跃至被披露后一段时间，随后渐渐从网络上消失

特征：

有效WHQL签名，基本使用不变的“netfilter.sys”文件名称，无壳，文件大小较小，过滤并将特定的数据包转发至特定的服务器，依赖于云控

攻击对象：

游戏业，私-Fu业

命名原因：

文件名


3.其他WHQL Rootkit

零星出现的、功能、行为、目标对象均与以上不同的Rootkit，例如某些流氓软件的Rootkit。

---

一、风雨欲来

至少在2020年中旬，微软在驱动签名上审核不严的问题就已经暴露出来，开始是有高强度对抗措施的外{过}{滤}挂程序的驱动被审核通过，这仿佛也预示了微软将在之后给Rootkit签名的事





二、风起云涌

2020.12.26，首个WHQL Rootkit样本在论坛被捕获

帖子地址：https://bbs.kafan.cn/thread-2197869-1-1.html

类别：FiveSys

上传用户@wwwab


帖子截图：


不久后的2021.1.4，@tdsskiller 和@wowocock 对与样本进行了分析与讨论，当时怀疑同外{过}{滤}挂有关，帖子地址：https://bbs.kafan.cn/thread-2198423-1-1.html






2021.1.7 同一样本被@落华无痕 捕获https://bbs.kafan.cn/thread-2198398-1-1.html




2021.1.16 该样本进行了更新https://bbs.kafan.cn/thread-2199287-1-1.html



2021.3.2 @落华无痕 所分享的传奇私-Fu样本中再次出现了该家族样本的身影






2021.3.22 @落华无痕 再次捕获新版本的驱动 https://bbs.kafan.cn/thread-2205083-1-1.html





2021.3.24 @落华无痕 首次捕获Netfilter样本 https://bbs.kafan.cn/thread-2205279-1-1.html




2021.4.28 Netfilter 更新 https://bbs.kafan.cn/thread-2207806-1-1.html



2021.5.8 FiveSys / FuRootkit也更新了，https://bbs.kafan.cn/thread-2208367-1-1.html



2021年6月底，netfilter rootkit被公开披露，迫使微软和一众安全厂商改变了对WHQL签名驱动的处理方式和态度

2021.7.5 @Jirehlov1234 发布了样本https://bbs.kafan.cn/thread-2211839-1-1.html，不过该样本的签名来源是Digicert，而不是微软的WHQL签名




2021.7.25 @wwwab 发现了FiveSys系列的更新 https://bbs.kafan.cn/thread-2213310-1-1.html，https://bbs.kafan.cn/thread-2213313-1-1.html



2021.7.26 @wwwab 更新关联样本https://bbs.kafan.cn/thread-2213390-1-1.html




2021.7.28 @hsks 再次捕获FiveSys https://bbs.kafan.cn/thread-2213555-1-1.html




2021.10.22 Bitdefender公开披露了FiveSys，此后，越来越多不同家族的的WHQL Rootkit如雨后春笋般冒出，数量激增，标志着Rootkit向WHQL方向前进

三、狂风暴雨

2021.10.7 @ANY.LNK 捕获了新版本的Netfilter（NetRedirect），这也是捕获到该家族的最后一次更新https://bbs.kafan.cn/thread-2219165-1-1.html




2021.11.13 @ANY.LNK 发布新的FiveSys家族的样本https://bbs.kafan.cn/thread-2221462-1-1.html




2021.11.17 @wowocock 注意到WHQL Rootkit的数量正在加速增加https://bbs.kafan.cn/thread-2221712-1-1.html，@00006666 收集了样本https://bbs.kafan.cn/thread-2221730-1-1.html






该样本疑似不属于已知的家族

2021.11.20 传奇Rootkit更新 https://bbs.kafan.cn/thread-2221890-1-1.html



目前不确定该批次样本同FiveSys / FuRootkit之间的关系，尽管来源、行为、特征（如VMProtect和WHQL签名）相似，但是该样本存在大量的相同名称驱动和不同版本（签名也不断变化），而不像FuRoot一样经常变更文件名但WHQL签名不变。

2022.2.8 FiveSys / FuRootkit更新https://bbs.kafan.cn/thread-2226843-1-1.html，@wwwab 和@00006666 共同提交



2022.2.11 FuRootkit更新https://bbs.kafan.cn/thread-2227114-1-1.html



2022.2.12 https://bbs.kafan.cn/thread-2227187-1-1.html这个贴子里的驱动有一个是带有WHQL的


2022.3.10-2022.3.12 FiveSys / FuRootkit 一连更新了5个驱动https://bbs.kafan.cn/thread-2229066-1-1.html ，https://bbs.kafan.cn/thread-2229075-1-1.html，https://bbs.kafan.cn/thread-2229192-1-1.html



2022.3.10 @wwwab 发布分析报告证实了FiveSys仍在活跃并大量更新 https://bbs.kafan.cn/thread-2229065-1-1.html



值得注意的是，这批样本在VirusTotal上被部分安全软件标记为来自APT组织UNC3944的样本（同样具有WHQL签名）。如果这批样本确实属于UNC3944的话。依据mandiant的报告结合我们的发现（如2247端口下载驱动，相同的网络请求构建，https://bbs.kafan.cn/thread-2221890-1-1.html提及的的变化签名）或许我们可以将之前的FiveSys / Fu活动和UNC3944关联到一起。

2022.3.15 独立的WHQL Rootkit https://bbs.kafan.cn/thread-2229344-1-1.html



2022.3.25 火绒发布了分析报告https://bbs.huorong.cn/thread-100952-1-1.html，分析了同源的https://bbs.kafan.cn/thread-2229065-1-1.html





此后@wwwab 同爱玩宝人员沟通的时候，对方表明自己的驱动使用了签名代签服务，可能是在该过程中被加了料（此后同其他曾传播过WHQL Rootkit组织的沟通对方也表明使用过代签服务）



2022.4.4-2022.4.5 Fu / FiveSys更新 https://bbs.kafan.cn/thread-2231360-1-1.html，https://bbs.kafan.cn/thread-2231383-1-1.html；仍然是类似的名称和下载链接地址

上传人@biue @wwwab






2022.4.17 更新https://bbs.kafan.cn/thread-2232832-1-1.html



2022.4.21 再次更新，不过签名换了https://bbs.kafan.cn/thread-2233222-1-1.html



2022.5.9 更新捕获 https://bbs.kafan.cn/thread-2234572-1-1.html



2022.5.31 再次更新https://bbs.kafan.cn/thread-2236206-1-1.html，https://bbs.kafan.cn/thread-2236211-1-1.html





5个驱动

2022.6.10 更新了4个，https://bbs.kafan.cn/thread-2236936-1-1.html



2022.6.3 对6.10的进行了补充



2022.6.15更新：https://bbs.kafan.cn/thread-2237240-1-1.html



2022.6.24再次更新，速度很快https://bbs.kafan.cn/thread-2237891-1-1.html



2022.7.14 https://bbs.kafan.cn/thread-2239296-1-1.html报告





2022.7.31 https://bbs.kafan.cn/thread-2240537-1-1.html



2022.8.3 https://bbs.kafan.cn/thread-2240784-1-1.html



2022.8.12 https://bbs.kafan.cn/thread-2241362-1-1.html



2022.8.29 https://bbs.kafan.cn/thread-2243018-1-1.html



2022.8.31 https://bbs.kafan.cn/thread-2243144-1-1.html



2022.9.1 https://bbs.kafan.cn/thread-2243205-1-1.html



2022.10.21 https://bbs.kafan.cn/thread-2245506-1-1.html



2022.11.11 一次大规模的行动 https://bbs.kafan.cn/thread-2246610-1-1.html， https://bbs.kafan.cn/thread-2246612-1-1.html





2022.11.17 https://bbs.kafan.cn/thread-2246926-1-1.html



2022.12.26 https://bbs.kafan.cn/thread-2249145-1-1.html，曾经的isodisk64.sys也更新了



2023.1.5 又一次大规模行动https://bbs.kafan.cn/thread-2249666-1-1.html



2023.1.6 https://bbs.kafan.cn/thread-2249744-1-1.html



2023.1.19 https://bbs.kafan.cn/thread-2250498-1-1.html



2023.2.4 https://bbs.kafan.cn/thread-2251387-1-1.html



2023.2.22 https://bbs.kafan.cn/thread-2252446-1-1.html



2023.2.27 https://bbs.kafan.cn/thread-2252722-1-1.html（疑似不是往常的Fu Rtk）



2023.3.18 https://bbs.kafan.cn/thread-2253556-1-1.html，包含2个WHQL Rootkit



2023.5.13 https://bbs.kafan.cn/thread-2255950-1-1.html



2023.5.27 https://bbs.kafan.cn/thread-2256471-1-1.html，另一个不同于之前样本的WHQL Rootkit



2023.6.13 https://bbs.kafan.cn/thread-2257062-1-1.html


2023.7.29 https://bbs.kafan.cn/thread-2258711-1-1.html

类别：疑似为Fu-Rootkit

发布者@落华无痕



2023.8.23 首个在R3环境下运行的WHQL样本被发现，标志着WHQL证书的滥用继续扩大化，微软的审核机制被证明进一步出现问题

发布者@wwwab

地址：https://bbs.kafan.cn/thread-2259752-1-1.html

类别：为此前论坛中持续更新的键盘记录器（Keylogger）的新更新，暂定名称：Attack: RLogMS3






2023.8.26 首个R3运行的WHQL EXE被发现

原地址：https://bbs.kafan.cn/thread-2259846-1-1.html

类别：APT Carderbee相关

发布者@Jirehlov1234


2023.8.27 新的WHQL样本，目前暂不属于以上任何一类，但也是有道云相关

原帖地址：https://bbs.kafan.cn/thread-2259875-1-1.html

发布者@hsks


2023.10.20-22 Fu-Rootkit更新，加强了同360的对抗

原帖地址：https://bbs.kafan.cn/thread-2261778-1-1.html

样本提供@wwwab @又中招了

---

本帖将继续随论坛中WHQL样本的更新而更新

---

由于在发帖时论坛出现BUG没有一次提交成功，同时本人搜集样本帖并写下本帖时可能存在疏漏，因此帖子内容可能会出现问题，请谅解并予以指正

AEht

微软啊，微软，WHQL随随便便的给，甚至签的时候查查户口都不愿意

MJ君

我滴乖乖，这个家族流弊啊
幸好我基本上不玩网游，从未接触过私-Fu……
阿三全锅，不解释

hansyu

感觉都是私-Fu领域，为什么集中在这块？

ANY.LNK

hansyu 发表于 2023-6-22 18:57
感觉都是私-Fu领域，为什么集中在这块？

因为利益。

私-Fu有很多家，很赚钱，彼此间的竞争又非常激烈，各家对抗由来已久。为了争夺流量，使之流向自己，各家私-Fu厂商不仅要想方设法干掉竞争对手，还要对抗安全软件，就会搞出各种阴间的、常人难以想象的手段

hansyu

ANY.LNK 发表于 2023-6-22 21:07
因为利益。

私-Fu有很多家，很赚钱，彼此间的竞争又非常激烈，各家对抗由来已久。为了争夺流量，使之 ...

感谢解答，不过我听说最多的是传奇私-Fu？那么多人玩的吗？
其他网游的私-Fu不太了解。

ANY.LNK

hansyu 发表于 2023-6-22 21:31
感谢解答，不过我听说最多的是传奇私-Fu？那么多人玩的吗？
其他网游的私-Fu不太了解。

啊，我之前看过份报告还有中招后求助的人，其实玩传奇私-Fu的人是相当多的，不过多数是年龄较大的人，和现在网络上的年轻人交集较少，不是特别能在互联网上引起关注罢了。

以及，这些传奇游戏的流水其实已经在某些方面比得上某些一流大厂了

hansyu

ANY.LNK 发表于 2023-6-22 22:02
啊，我之前看过份报告还有中招后求助的人，其实玩传奇私-Fu的人是相当多的，不过多数是年龄较大的人，和 ...

有那份报告的链接吗？我想看看。
话虽如此我也即将超出年轻人的上限了，大概？但是我认识的好像没有玩传奇的。

ANY.LNK

hansyu 发表于 2023-6-22 23:24
有那份报告的链接吗？我想看看。
话虽如此我也即将超出年轻人的上限了，大概？但是我认识的好像没有玩传 ...

原来的那篇文章不太记得了，找了几篇类似的

https://zhuanlan.zhihu.com/p/72370920，https://www.sohu.com/a/346846361_120099891，https://www.zhihu.com/question/449919211

说实话，我也对游戏行业没有什么深入的了解，看起来这些人像是70后80后，本世纪初的时候入的传奇

easy1234

大佬辛苦了