摘要：网络安全的战场从未平静。以色列安全厂商Check Point Research（CPR）最近发现了一场复杂的网络攻击，利用Windows驱动程序签名策略的漏洞，禁用安全工具，并在数千个系统中部署恶意软件。这场攻击从2024年6月便开始了，目标锁定了大量使用云基

网络安全的战场从未平静。以色列安全厂商Check Point Research（CPR）最近发现了一场复杂的网络攻击，利用Windows驱动程序签名策略的漏洞，禁用安全工具，并在数千个系统中部署恶意软件。这场攻击从2024年6月便开始了，目标锁定了大量使用云基础设施的中国用户，显然，攻击者早已将目光瞄准了这个庞大的市场。

攻击者使用了一个名为Truesight.sys的驱动程序，其版本为2.0.2，存在任意进程终止的漏洞。根据CPR的报告，这个驱动程序有超过2500个修改版本，作为Adlice RogueKiller Antirootkit的一部分，攻击者利用这些版本终止受保护的进程，比如EDR（端点检测与响应）和AV（防病毒）解决方案，随后安装Gh0st RAT负载。

这听起来就像是黑客界的“黑暗艺术”，利用一系列精心设计的步骤，攻击者在系统内外游刃有余。这种复杂的攻击方式表明，攻击者不仅仅是简单地植入恶意软件，而是经过深思熟虑的计划和执行，确实让人感到害怕。

最初的感染媒介是伪装成电子商务平台的钓鱼网站（例如bung486[.]com），这些网站分发的是伪装成合法软件的恶意下载程序。用户很容易就会上当，下载看似无害的软件，殊不知，这背后隐藏着恶意的阴谋。

CPR的研究表明，在加密有效载荷执行的三个阶段之后，攻击者通过利用内核驱动程序漏洞来禁用安全进程，并通过Gh0st RAT变种建立远程控制。这种层层递进的攻击手法，不禁让人想起那些悬疑电影中的阴险角色，悄无声息地潜入目标的内心深处。

攻击者还利用了一项关键的Windows策略异常，允许2015年7月之前签名的旧版驱动程序加载到现代系统上，从而绕过了微软的驱动程序签名强制执行（DSE）。这意味着，即使是早已被列为过时的驱动程序，仍然有机会在当前环境中发挥作用。

尽管Truesight.sys v2.0.2存在漏洞，但它却依然符合这一条件。攻击者通过修改非关键的PE（可移植可执行文件）部分，并保留有效的签名，成功逃避了基于哈希的检测。CPR的分析显示，恶意软件通过一个名为S.dll的模块，终止了多达192个安全软件进程。这种操作显示出攻击者的技术实力，不仅是在破坏，更是在玩弄复杂的技术游戏。

更令人关注的是，攻击者在32位有效载荷上使用了VMProtect等商业保护程序，以阻碍逆向工程。这一举措使得安全专家在分析该恶意软件时更加困难。此外，攻击者还采用了模仿图像文件（PNG/JPG）的加密有效载荷，反射性地加载到内存中，以避免磁盘扫描。这种行为让人感叹，黑客们真是用尽心思，创造出一套“隐形”的攻击手法。

同时，Gh0st RAT的最终变体使用自定义XOR+ADD加密进行C2（命令与控制）通信，这无疑使得追踪和阻断攻击变得更加复杂。这种情况再一次强调了网络安全防御的迫切性。企业和个人用户都需要提升自身的安全意识，采取更多的安全防护措施，以应对日益复杂的网络威胁。

企业需要不断更新和强化安全策略，以应对这些层出不穷的攻击。定期的安全审计、实时监控以及员工的安全培训都是必不可少的步骤。毕竟，在这场没有硝烟的战争中，只有不断强化自身的防御，才能在黑暗中保有一线光明。希望未来的网络环境能够更加安全，也希望每一个用户都能成为自己安全的护卫者。

来源：小域科技