黑客利用戴尔固件驱动程序高危漏洞,部署 Rootkit 恶意程序

Hackers Exploiting Dell Driver Vulnerability to Deploy Rootkit on Targeted Computers

最近的网络安全研究中发现,朝鲜支持的 Lazarus Group 黑客组织利用戴尔固件驱动程序中的漏洞部署 Windows rootkit 恶意程序。

2021年下半年发生的自带易受攻击的驱动程序 ( BYOVD ) 攻击是黑客组织间谍活动的另一种变体,称为Operation In(ter)ception,主要针对航空航天和国防工业。

该活动以包含恶意亚马逊主题文件的鱼叉式网络钓鱼电子邮件开始,目标是荷兰一家航空航天公司的员工。攻击链在诱饵文件被打开后展开,实现恶意 dropper 的分发,这些是开源项目的木马化版本。

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理,在样本中除了基于 HTTPS 的下载器和上传器之外,还发现了 Lazarus 丢弃了 FingerText 和 sslSniffer(wolfSSL 库的一个组件)的武器化版本的证据。

这些入侵还为该组织选择的被称为 BLINDINGCAN 的后门(也称为 AIRDRY 和 ZetaNile)铺平了道路,攻击者可以利用它来控制系统。

值得注意的是一个 rootkit 模块,该模块利用戴尔驱动程序漏洞获得读写内核内存的能力。该漏洞的漏洞号为 CVE-2021-21551,与 dbutil_2_3.sys 中的一组关键权限提升漏洞有关。

安全研究人员指出,这代表了首次记录到的对 CVE-2021-21551 漏洞的滥用。这个工具与漏洞相结合,会禁用对受感染机器上所有安全防护体系的监控。

攻击者使用他们的内核内存写访问来禁用 Windows 操作系统提供的七种机制来监控其操作,如注册表、文件系统、进程创建、事件跟踪等,基本上以非常通用和强大的方式使安全防护体系失明。

这不是攻击者第一次使用易受攻击的驱动程序来发起其 rootkit 攻击。就在上个月,安全研究机构就详细介绍了利用名为 ene.sys 的合法驱动程序来解除机器中安装的安全软件的情况。

 

黑客利用戴尔固件驱动程序高危漏洞,部署 Rootkit 恶意程序

极牛网精选文章《黑客利用戴尔固件驱动程序高危漏洞,部署 Rootkit 恶意程序》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/21228.html

(30)
打赏 微信公众号 微信公众号 微信小程序 微信小程序
主编的头像主编认证作者
上一篇 2022年10月4日 上午11:58
下一篇 2022年10月11日 上午11:08

相关推荐

发表回复

登录后才能评论
扫码关注
扫码关注
分享本页
返回顶部