一个被挖矿木马利用的漏洞驱动，历时4年多，大多数杀软仍然无视

pyic

First Seen In The Wild 2020-08-04 16:08:01 UTC

最新VT结果：

挖矿木马常用的矿机所使用的WinRing0.sys也是一个非常常见的VulnDriver，这个驱动是一个名为NZXT CAM的计算机硬件性能监控产品内的一个便于程序访问Windows内核的组件。这个看起来不大的驱动程序上存在着多达11个CVE漏洞，其中CVE-2020-13516可以越权直接从USB和PCI设备查询信息；CVE-2020-13515可以越权将数据写入I/O总线，可能会更改PCI配置信息或特定于供应商的数据寄存器，帮助其他程序完成提权；CVE-2020-13518可以越权直接访问rdmsr，任意读取MSR内数据；CVE-2020-13519可以越权直接访问writemsr，向MSR内写入数据。

因此，利用这个驱动程序做很多事情，其利用成本低，很受以营利为目的网络攻击者欢迎。

在前段时间Log4j 曝出存在RCE漏洞的时候，该漏洞被大量的黑产攻击者利用，这个驱动程序也连带着出现在了大众的视野之中。

这些VulnDriver带着官方的签名，而且本身没有什么恶意行为，因此很多安全厂商都不会告警。

来源：【Rootkit系列研究】Windows平台高隐匿、高持久化威胁（二）

文中提到的漏洞驱动Hash：

MD5                 0c0195c48b6b8582fa6f6373032118da

SHA-1              d25340ae8e92a6d29f599fef426a2bc1b5217299

SHA-256          11bd2c9f9e2397c9a16e0990e4ed2cf0679498fe0fd418a3dfdac60b5c160ee5

pal家族

不，我最爱的水晶零，不许你说他坏话

tousu

https://sc.360.net/file/0c0195c48b6b8582fa6f6373032118da
看传播率和公开报道数量来说，如果要处理早就处理了，估计还是投鼠忌器，360这边看暂时还是在白名单

早上起来不刷牙

pal家族 发表于 2025-2-3 22:51
不，我最爱的水晶零，不许你说他坏话

你头像是崩坏3的还是原神的还是星铁的

ninjagaocc

只可惜瑞星并没有把这个扫描引擎放到产品中去

pal家族

早上起来不刷牙 发表于 2025-2-3 23:31
你头像是崩坏3的还是原神的还是星铁的

派巴尔

wwwab

https://bbs.kafan.cn/thread-2265049-3-1.html
https://bbs.kafan.cn/thread-2265049-4-1.html
WinRing0这个老掉牙用烂的驱动不要再反复单独发了，都知道

该漏洞驱动的使用量很大，很多公司产品都在用，国内导致没人敢拉黑。

龙渊明

111