黑客利用戴尔固件驱动程序高危漏洞，部署 Rootkit 恶意程序

最近的网络安全研究中发现，朝鲜支持的 Lazarus Group 黑客组织利用戴尔固件驱动程序中的漏洞部署 Windows rootkit 恶意程序。

2021年下半年发生的自带易受攻击的驱动程序 ( BYOVD ) 攻击是黑客组织间谍活动的另一种变体，称为Operation In(ter)ception，主要针对航空航天和国防工业。

该活动以包含恶意亚马逊主题文件的鱼叉式网络钓鱼电子邮件开始，目标是荷兰一家航空航天公司的员工。攻击链在诱饵文件被打开后展开，实现恶意 dropper 的分发，这些是开源项目的木马化版本。

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理，在样本中除了基于 HTTPS 的下载器和上传器之外，还发现了 Lazarus 丢弃了 FingerText 和 sslSniffer（wolfSSL 库的一个组件）的武器化版本的证据。

这些入侵还为该组织选择的被称为 BLINDINGCAN 的后门（也称为 AIRDRY 和 ZetaNile）铺平了道路，攻击者可以利用它来控制系统。

值得注意的是一个 rootkit 模块，该模块利用戴尔驱动程序漏洞获得读写内核内存的能力。该漏洞的漏洞号为 CVE-2021-21551，与 dbutil_2_3.sys 中的一组关键权限提升漏洞有关。

安全研究人员指出，这代表了首次记录到的对 CVE-2021-21551 漏洞的滥用。这个工具与漏洞相结合，会禁用对受感染机器上所有安全防护体系的监控。

攻击者使用他们的内核内存写访问来禁用 Windows 操作系统提供的七种机制来监控其操作，如注册表、文件系统、进程创建、事件跟踪等，基本上以非常通用和强大的方式使安全防护体系失明。

这不是攻击者第一次使用易受攻击的驱动程序来发起其 rootkit 攻击。就在上个月，安全研究机构就详细介绍了利用名为 ene.sys 的合法驱动程序来解除机器中安装的安全软件的情况。