เรื่องเล่าจาก Silver Fox: เมื่อ “ไดรเวอร์ที่เซ็นแล้ว” กลายเป็นอาวุธของ APT
กลุ่มแฮกเกอร์ระดับชาติที่ชื่อว่า Silver Fox APT ได้เปิดแคมเปญโจมตีใหม่ที่ใช้เทคนิค BYOVD (Bring Your Own Vulnerable Driver) โดยอาศัยไดรเวอร์ที่เซ็นโดย Microsoft อย่างถูกต้อง แต่มีช่องโหว่ร้ายแรง เพื่อปิดระบบป้องกันของ Windows แล้วติดตั้งมัลแวร์ ValleyRAT
ไดรเวอร์ที่ถูกใช้คือ WatchDog Antimalware (amsdk.sys v1.0.600) ซึ่งแม้จะเซ็นโดย Microsoft แต่ไม่เคยถูกขึ้นบัญชีบล็อกของ Microsoft หรือชุมชนอย่าง LOLDrivers มาก่อน Silver Fox ยังใช้ไดรเวอร์เก่าของ Zemana (zam.exe) เพื่อให้แคมเปญทำงานได้ทั้งบน Windows 7, 10 และ 11
Loader ที่ใช้ในแคมเปญนี้เป็นแพ็กเกจแบบ all-in-one ที่รวม anti-analysis, driver ฝังตัว, logic สำหรับฆ่า process และ ValleyRAT downloader ไว้ในไฟล์เดียว เมื่อรันแล้วจะเลือกไดรเวอร์ให้เหมาะกับระบบ ติดตั้งตัวเองแบบ persistent และเริ่มฆ่า process ของโปรแกรมป้องกันทันที
ที่น่าตกใจคือ แม้ WatchDog จะออก patch ใหม่ (v1.1.100) เพื่อแก้ไขช่องโหว่ privilege escalation แต่ Silver Fox กลับ “พลิกเกม” โดยเปลี่ยนแค่ 1 byte ใน timestamp ของลายเซ็น ทำให้ได้ hash ใหม่ที่หลบ blocklist ได้ โดยไม่ทำให้ลายเซ็นเสีย—Windows ยังเชื่อว่าเป็นไฟล์ที่ปลอดภัย
เทคนิค BYOVD ที่ใช้ในแคมเปญ Silver Fox
ใช้ไดรเวอร์ที่เซ็นโดย Microsoft แต่มีช่องโหว่จริง
WatchDog (amsdk.sys v1.0.600) และ Zemana (zam.exe) ถูกใช้ร่วมกัน
Loader แบบ all-in-one รวมทุกฟีเจอร์ไว้ในไฟล์เดียว
จุดอ่อนของ WatchDog driver
สามารถฆ่า process ได้โดยไม่ตรวจสอบสิทธิ์ (PP/PPL bypass)
มีช่องโหว่ privilege escalation และ raw disk access
ไม่มีการควบคุม access บน device namespace ทำให้ user ธรรมดาใช้ได้
การหลบการตรวจจับด้วยการเปลี่ยน hash
เปลี่ยนแค่ 1 byte ใน timestamp ของลายเซ็น
ได้ hash ใหม่ที่ไม่อยู่ใน blocklist แต่ยังคงลายเซ็นที่ถูกต้อง
Windows ยังมองว่าเป็นไฟล์ที่เชื่อถือได้
ValleyRAT: Payload สุดท้าย
เป็น modular backdoor ที่มีฟีเจอร์ spying, command execution และ data exfiltration
โครงสร้าง C2 ถูก trace ไปยังเซิร์ฟเวอร์ในจีน
เป้าหมายหลักคือองค์กรในเอเชีย โดยเฉพาะจีน
การตอบสนองจาก WatchDog และ Microsoft
WatchDog ออก patch v1.1.100 เพื่อแก้ LPE ด้วยการเพิ่ม DACL
แต่ยังไม่แก้ปัญหา process termination
Microsoft blocklist อัปเดตช้า ทำให้มีช่องว่างให้โจมตี
ความเสี่ยงจากการเชื่อมั่นลายเซ็นมากเกินไป
ลายเซ็นที่ถูกต้องไม่เท่ากับความปลอดภัย หาก hash ถูกเปลี่ยน
ระบบที่ใช้ hash-based blocklist อาจถูกหลอกได้ง่าย
ความล่าช้าในการอัปเดต blocklist
Microsoft อัปเดต blocklist ปีละไม่กี่ครั้ง ทำให้มีช่องว่างหลายเดือน
ไดรเวอร์ที่มีช่องโหว่แต่ยังไม่ถูกบล็อกสามารถใช้โจมตีได้ทันที
ความเสี่ยงจากการใช้ driver ที่ไม่ได้ตรวจสอบ
ระบบ endpoint protection อาจถูกปิดก่อนที่ detection engine จะทำงาน
การใช้ driver ที่มีสิทธิ์ระดับ kernel ทำให้มัลแวร์ฝังตัวได้ลึกและยากต่อการลบ
https://hackread.com/silver-fox-apt-exploit-signed-windows-driver-valleyrat/
กลุ่มแฮกเกอร์ระดับชาติที่ชื่อว่า Silver Fox APT ได้เปิดแคมเปญโจมตีใหม่ที่ใช้เทคนิค BYOVD (Bring Your Own Vulnerable Driver) โดยอาศัยไดรเวอร์ที่เซ็นโดย Microsoft อย่างถูกต้อง แต่มีช่องโหว่ร้ายแรง เพื่อปิดระบบป้องกันของ Windows แล้วติดตั้งมัลแวร์ ValleyRAT
ไดรเวอร์ที่ถูกใช้คือ WatchDog Antimalware (amsdk.sys v1.0.600) ซึ่งแม้จะเซ็นโดย Microsoft แต่ไม่เคยถูกขึ้นบัญชีบล็อกของ Microsoft หรือชุมชนอย่าง LOLDrivers มาก่อน Silver Fox ยังใช้ไดรเวอร์เก่าของ Zemana (zam.exe) เพื่อให้แคมเปญทำงานได้ทั้งบน Windows 7, 10 และ 11
Loader ที่ใช้ในแคมเปญนี้เป็นแพ็กเกจแบบ all-in-one ที่รวม anti-analysis, driver ฝังตัว, logic สำหรับฆ่า process และ ValleyRAT downloader ไว้ในไฟล์เดียว เมื่อรันแล้วจะเลือกไดรเวอร์ให้เหมาะกับระบบ ติดตั้งตัวเองแบบ persistent และเริ่มฆ่า process ของโปรแกรมป้องกันทันที
ที่น่าตกใจคือ แม้ WatchDog จะออก patch ใหม่ (v1.1.100) เพื่อแก้ไขช่องโหว่ privilege escalation แต่ Silver Fox กลับ “พลิกเกม” โดยเปลี่ยนแค่ 1 byte ใน timestamp ของลายเซ็น ทำให้ได้ hash ใหม่ที่หลบ blocklist ได้ โดยไม่ทำให้ลายเซ็นเสีย—Windows ยังเชื่อว่าเป็นไฟล์ที่ปลอดภัย
เทคนิค BYOVD ที่ใช้ในแคมเปญ Silver Fox
ใช้ไดรเวอร์ที่เซ็นโดย Microsoft แต่มีช่องโหว่จริง
WatchDog (amsdk.sys v1.0.600) และ Zemana (zam.exe) ถูกใช้ร่วมกัน
Loader แบบ all-in-one รวมทุกฟีเจอร์ไว้ในไฟล์เดียว
จุดอ่อนของ WatchDog driver
สามารถฆ่า process ได้โดยไม่ตรวจสอบสิทธิ์ (PP/PPL bypass)
มีช่องโหว่ privilege escalation และ raw disk access
ไม่มีการควบคุม access บน device namespace ทำให้ user ธรรมดาใช้ได้
การหลบการตรวจจับด้วยการเปลี่ยน hash
เปลี่ยนแค่ 1 byte ใน timestamp ของลายเซ็น
ได้ hash ใหม่ที่ไม่อยู่ใน blocklist แต่ยังคงลายเซ็นที่ถูกต้อง
Windows ยังมองว่าเป็นไฟล์ที่เชื่อถือได้
ValleyRAT: Payload สุดท้าย
เป็น modular backdoor ที่มีฟีเจอร์ spying, command execution และ data exfiltration
โครงสร้าง C2 ถูก trace ไปยังเซิร์ฟเวอร์ในจีน
เป้าหมายหลักคือองค์กรในเอเชีย โดยเฉพาะจีน
การตอบสนองจาก WatchDog และ Microsoft
WatchDog ออก patch v1.1.100 เพื่อแก้ LPE ด้วยการเพิ่ม DACL
แต่ยังไม่แก้ปัญหา process termination
Microsoft blocklist อัปเดตช้า ทำให้มีช่องว่างให้โจมตี
ความเสี่ยงจากการเชื่อมั่นลายเซ็นมากเกินไป
ลายเซ็นที่ถูกต้องไม่เท่ากับความปลอดภัย หาก hash ถูกเปลี่ยน
ระบบที่ใช้ hash-based blocklist อาจถูกหลอกได้ง่าย
ความล่าช้าในการอัปเดต blocklist
Microsoft อัปเดต blocklist ปีละไม่กี่ครั้ง ทำให้มีช่องว่างหลายเดือน
ไดรเวอร์ที่มีช่องโหว่แต่ยังไม่ถูกบล็อกสามารถใช้โจมตีได้ทันที
ความเสี่ยงจากการใช้ driver ที่ไม่ได้ตรวจสอบ
ระบบ endpoint protection อาจถูกปิดก่อนที่ detection engine จะทำงาน
การใช้ driver ที่มีสิทธิ์ระดับ kernel ทำให้มัลแวร์ฝังตัวได้ลึกและยากต่อการลบ
https://hackread.com/silver-fox-apt-exploit-signed-windows-driver-valleyrat/
🎙️ เรื่องเล่าจาก Silver Fox: เมื่อ “ไดรเวอร์ที่เซ็นแล้ว” กลายเป็นอาวุธของ APT
กลุ่มแฮกเกอร์ระดับชาติที่ชื่อว่า Silver Fox APT ได้เปิดแคมเปญโจมตีใหม่ที่ใช้เทคนิค BYOVD (Bring Your Own Vulnerable Driver) โดยอาศัยไดรเวอร์ที่เซ็นโดย Microsoft อย่างถูกต้อง แต่มีช่องโหว่ร้ายแรง เพื่อปิดระบบป้องกันของ Windows แล้วติดตั้งมัลแวร์ ValleyRAT
ไดรเวอร์ที่ถูกใช้คือ WatchDog Antimalware (amsdk.sys v1.0.600) ซึ่งแม้จะเซ็นโดย Microsoft แต่ไม่เคยถูกขึ้นบัญชีบล็อกของ Microsoft หรือชุมชนอย่าง LOLDrivers มาก่อน Silver Fox ยังใช้ไดรเวอร์เก่าของ Zemana (zam.exe) เพื่อให้แคมเปญทำงานได้ทั้งบน Windows 7, 10 และ 11
Loader ที่ใช้ในแคมเปญนี้เป็นแพ็กเกจแบบ all-in-one ที่รวม anti-analysis, driver ฝังตัว, logic สำหรับฆ่า process และ ValleyRAT downloader ไว้ในไฟล์เดียว เมื่อรันแล้วจะเลือกไดรเวอร์ให้เหมาะกับระบบ ติดตั้งตัวเองแบบ persistent และเริ่มฆ่า process ของโปรแกรมป้องกันทันที
ที่น่าตกใจคือ แม้ WatchDog จะออก patch ใหม่ (v1.1.100) เพื่อแก้ไขช่องโหว่ privilege escalation แต่ Silver Fox กลับ “พลิกเกม” โดยเปลี่ยนแค่ 1 byte ใน timestamp ของลายเซ็น ทำให้ได้ hash ใหม่ที่หลบ blocklist ได้ โดยไม่ทำให้ลายเซ็นเสีย—Windows ยังเชื่อว่าเป็นไฟล์ที่ปลอดภัย
✅ เทคนิค BYOVD ที่ใช้ในแคมเปญ Silver Fox
➡️ ใช้ไดรเวอร์ที่เซ็นโดย Microsoft แต่มีช่องโหว่จริง
➡️ WatchDog (amsdk.sys v1.0.600) และ Zemana (zam.exe) ถูกใช้ร่วมกัน
➡️ Loader แบบ all-in-one รวมทุกฟีเจอร์ไว้ในไฟล์เดียว
✅ จุดอ่อนของ WatchDog driver
➡️ สามารถฆ่า process ได้โดยไม่ตรวจสอบสิทธิ์ (PP/PPL bypass)
➡️ มีช่องโหว่ privilege escalation และ raw disk access
➡️ ไม่มีการควบคุม access บน device namespace ทำให้ user ธรรมดาใช้ได้
✅ การหลบการตรวจจับด้วยการเปลี่ยน hash
➡️ เปลี่ยนแค่ 1 byte ใน timestamp ของลายเซ็น
➡️ ได้ hash ใหม่ที่ไม่อยู่ใน blocklist แต่ยังคงลายเซ็นที่ถูกต้อง
➡️ Windows ยังมองว่าเป็นไฟล์ที่เชื่อถือได้
✅ ValleyRAT: Payload สุดท้าย
➡️ เป็น modular backdoor ที่มีฟีเจอร์ spying, command execution และ data exfiltration
➡️ โครงสร้าง C2 ถูก trace ไปยังเซิร์ฟเวอร์ในจีน
➡️ เป้าหมายหลักคือองค์กรในเอเชีย โดยเฉพาะจีน
✅ การตอบสนองจาก WatchDog และ Microsoft
➡️ WatchDog ออก patch v1.1.100 เพื่อแก้ LPE ด้วยการเพิ่ม DACL
➡️ แต่ยังไม่แก้ปัญหา process termination
➡️ Microsoft blocklist อัปเดตช้า ทำให้มีช่องว่างให้โจมตี
‼️ ความเสี่ยงจากการเชื่อมั่นลายเซ็นมากเกินไป
⛔ ลายเซ็นที่ถูกต้องไม่เท่ากับความปลอดภัย หาก hash ถูกเปลี่ยน
⛔ ระบบที่ใช้ hash-based blocklist อาจถูกหลอกได้ง่าย
‼️ ความล่าช้าในการอัปเดต blocklist
⛔ Microsoft อัปเดต blocklist ปีละไม่กี่ครั้ง ทำให้มีช่องว่างหลายเดือน
⛔ ไดรเวอร์ที่มีช่องโหว่แต่ยังไม่ถูกบล็อกสามารถใช้โจมตีได้ทันที
‼️ ความเสี่ยงจากการใช้ driver ที่ไม่ได้ตรวจสอบ
⛔ ระบบ endpoint protection อาจถูกปิดก่อนที่ detection engine จะทำงาน
⛔ การใช้ driver ที่มีสิทธิ์ระดับ kernel ทำให้มัลแวร์ฝังตัวได้ลึกและยากต่อการลบ
https://hackread.com/silver-fox-apt-exploit-signed-windows-driver-valleyrat/
0 ความคิดเห็น
0 การแบ่งปัน
45 มุมมอง
0 รีวิว
English