【续帖】论坛WHQL Rootkit发展史

ANY.LNK

由于上一篇帖子https://bbs.kafan.cn/thread-2257356-1-1.html因为微软加强了对WHQL签名驱动的审核以至于长期未出现新的样本而被锁，因此在此新开一帖。
家族：银狐【APT-KF-02（暂定）】

行动：混淆狐；Operation: ObfuseFox （暂定名称）


2024年3月9日（至少），@wwwab 首次上传了可疑的hwperf.sys样本，标志着银狐团伙的内核驱动对抗手法的进一步升级，由BYOVD进化为自行开发的Rootkit被捕获





样本使用了OLLVM进行混淆，且需要特殊的配置以执行恶意行为，对各家厂商及我们的分析造成困扰







随后“银狐”团伙持续高强度更新，该系列样本在数天之内陆续在论坛中出现多个变种（相较之下，之前同样持续更新的FiveSys团伙在论坛上曝光平均频率大概是一个月一次）

先后出现https://bbs.kafan.cn/thread-2267106-1-1.html，https://bbs.kafan.cn/thread-2267110-1-1.html，https://bbs.kafan.cn/thread-2267280-1-1.html，https://bbs.kafan.cn/thread-2267279-1-1.html，https://bbs.kafan.cn/thread-2267250-1-1.html

2024年3月20日

火绒官方发布了详细的分析报告https://bbs.kafan.cn/thread-2267270-1-1.html，依据对方说法，“目前该类恶意驱动在野数量达到2000多个“



将继续进行持续性跟进。

感谢：

提供样本：@wwwab @virusscan @落华无痕 等


样本分析：@wwwab @wowocock @火绒工程师 @DisaPDB 等


样本上报：@wwwab @anthonyqian @anxiety520 @pal家族 等

---

其他备注：

该系列样本又验证了一种新的绕过微软WHQL驱动签名审核的方式，并且存在绕过开启HVCI等安全功能的Win11的可能性

发展不息，对抗不止……

easy1234

干这些都是有经济目的的吧，早就脱离了早期那种单纯和纯粹

ANY.LNK

easy1234 发表于 2024-3-24 11:01
干这些都是有经济目的的吧，早就脱离了早期那种单纯和纯粹

大概是的，参见银狐以前的做法

tdsskiller

hvci直接真机试一下就知道了，这个玩意如果那个内存解密加载没有没ban，这个玩意看起来也没有任何自我保护和机制，就是个阉割的恶意ark，很有可能是可以在hvci上执行的

pal家族

我不期待卡巴主动入库
我只期待驱动加载的时候能报个suspicious driver installation.b4
但好像这个也不太可能做到

inhh1

SEP对于这些驱动好像是看到签名就放，一个都不报

Eset小粉絲

卡巴全杀了，有遗漏的可以发给我

ANY.LNK

tdsskiller 发表于 2024-3-24 15:53
hvci直接真机试一下就知道了，这个玩意如果那个内存解密加载没有没ban，这个玩意看起来也没有任何自我保护 ...

虽然但是……毕竟是银狐家的东西，我还是不太敢掉以轻心直接在实机上加载……我目前只有这一台可用的实机了……

而虚拟机又不支持嵌套虚拟化……

ANY.LNK

更新：同一行动下的新样本
https://bbs.kafan.cn/thread-2267582-1-1.html；https://bbs.kafan.cn/thread-2267772-1-1.html；https://bbs.kafan.cn/thread-2267773-1-1.html；https://bbs.kafan.cn/thread-2267872-1-1.html
提供人均为@wwwab