Lazarus 黑客利用 Windows 零日漏洞获取内核权限

admin 2024年3月2日00:51:53评论23 views字数 1260阅读4分12秒阅读模式

Lazarus 黑客利用 Windows 零日漏洞获取内核权限

被称为 Lazarus Group 的朝鲜威胁行为者利用 Windows AppLocker 驱动程序 (appid.sys) 中的一个缺陷作为零日漏洞来获取内核级访问权限并关闭安全工具,从而允许他们绕过嘈杂的 BYOVD(自带漏洞)驾驶员)技术。

Avast 分析师检测到了这一活动,并立即向 Microsoft 报告了该活动,导致该缺陷得到修复,该缺陷现在被追踪为 CVE-2024-21338,作为 2024 年 2 月 补丁星期二的一部分。然而,微软并未将该漏洞标记为零日漏洞。

Avast 报告 称,Lazarus 利用 CVE-2024-21338 在其 FudModule rootkit 的更新版本中创建读/写内核原语,ESET 于 2022 年末首次记录该 rootkit。此前,该 rootkit 曾滥用 戴尔驱动程序 进行 BYOVD 攻击。

新版本的 FudModule 在隐秘性和功能方面显着增强,包括用于逃避检测和关闭 Microsoft Defender 和 CrowdStrike Falcon 等安全保护的新技术和更新技术。

此外,通过检索大部分攻击链,Avast 发现了 Lazarus 使用的一个先前未记录的远程访问木马 (RAT),该安全公司承诺在 4 月份的BlackHat Asia上分享该木马的更多详细信息  。

Lazarus 0day 漏洞利用

该恶意软件利用了 Microsoft 的“appid.sys”驱动程序中的漏洞,该驱动程序是一个提供应用程序白名单功能的 Windows AppLocker 组件。

Lazarus 通过操纵 appid.sys 驱动程序中的输入和输出控制 (IOCTL) 调度程序来调用任意指针来利用它,欺骗内核执行不安全代码,从而绕过安全检查。

Lazarus 黑客利用 Windows 零日漏洞获取内核权限

漏洞利用中使用的直接系统调用 (Avast)

FudModule rootkit 与漏洞利用程序构建在同一模块内,执行直接内核对象操作 (DKOM) 操作以关闭安全产品、隐藏恶意活动并保持受破坏系统的持久性。

目标安全产品包括 AhnLab V3 Endpoint Security、Windows Defender、CrowdStrike Falcon 和 HitmanPro 反恶意软件解决方案。

Avast 在新的 rootkit 版本中观察到了新的隐秘功能和扩展功能,例如通过操纵句柄表条目来怀疑受 Protected Process Light (PPL) 保护的进程的能力、通过 DKOM 进行选择性和有针对性的中断、篡改驱动程序签名强制和安全方面的增强启动等等。

Avast 指出,这种新的利用策略标志着威胁参与者的内核访问能力的重大演变,使他们能够发起更隐蔽的攻击,并在受感染的系统上持续更长时间。

Lazarus 黑客利用 Windows 零日漏洞获取内核权限

Rootkit 执行个别技术的主要功能 (Avast)

唯一有效的安全措施是尽快应用 2024 年 2 月补丁星期二更新,因为 Lazarus 对 Windows 内置驱动程序的利用使得检测和阻止攻击变得特别困难。

可以在此处找到帮助防御者检测与最新版本 FudModule rootkit 相关的活动的 YARA 规则。

原文始发于微信公众号(Ots安全):Lazarus 黑客利用 Windows 零日漏洞获取内核权限

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年3月2日00:51:53
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Lazarus 黑客利用 Windows 零日漏洞获取内核权限https://cn-sec.com/archives/2539187.html

发表评论

匿名网友 填写信息