详细内容或原文请订阅后点击阅览
Medusa勒索软件使用恶意的Windows驱动程序Abyssworker禁用安全工具
Medusa勒索软件使用恶意的Windows驱动程序Abyssworker禁用安全工具,从而使检测和缓解更加困难。 Elastic Security Labs使用牢固的装载装载机和被吊销的证书驾驶员Abyssworker跟踪了财务驱动的Medusa勒索软件活动,以禁用EDR工具。攻击者使用了一个名为Smuol.sys的64位Windows PE驱动程序,伪装成[…]
来源:Security Affairs _恶意软件Medusa勒索软件使用恶意的Windows驱动程序Abyssworker禁用安全工具
Medusa勒索软件使用恶意的Windows驱动程序Abyssworker禁用安全工具,从而使检测和缓解更加困难。
Elastic Security Labs使用备受锁定的装载机和被吊销的证书签署的驾驶员Abyssworker跟踪了财务驱动的Medusa勒索软件活动,以禁用EDR工具。
攻击者使用了一个名为Smuol.Sys的64位Windows PE驱动程序,该驱动程序被伪装成CrowdStrike Falcon驱动程序,该驾驶员受VMProtect保护和签名,并带有被撤销的中国证书。弹性研究人员从2024年8月至2025年2月发现了数十个样本,可能签署了被盗证书。
“所有样本均使用可能被盗的,中国公司撤销的证书签名。这些证书在不同的恶意软件样本和广告系列中广为人知和共享,但并非特定于该驾驶员。”阅读Elastic发布的报告。
报告Abyssworker使用不透明的谓词和推导函数来阻碍静态分析。专家指出,只有三个这样的功能存在,并且不在谓词中使用,混淆是无效且易于识别的。
初始化后,驱动程序会加载内核模块指针并设置客户保护功能。然后,它在注册回调的主要功能之前创建一个设备和符号链接。
打开驱动器设备时,它将进程ID添加到保护列表中,并将现有的手柄删除到目标过程中。它使用Brute-Force PID迭代从内核线程中从内核线程中检索客户的流程ID,并从其他过程中脱离访问权限。然后,驾驶员注册回调以防止未经授权的手柄创建,以确保受保护的过程仍然无法访问。
ntcreatefile
yara规则
在Twitter上关注我:@securityaffairs和Facebook和Mastodon
@securityaffairs Facebook mastodonPierluigi Paganini
( -