美杜莎勒索软件利用恶意Windows驱动ABYSSWORKER破坏安全工具

Elastic安全实验室追踪到一起以经济利益为目的的Medusa勒索软件攻击活动，该活动使用HEARTCRYPT加壳的加载器以及已被吊销证书签名的驱动ABYSSWORKER来破坏EDR工具。

攻击者使用名为smuol.sys的64位Windows PE驱动，该驱动伪装成CrowdStrike Falcon组件，经VMProtect加壳保护并使用已吊销的中国企业证书签名。Elastic研究人员发现2024年8月至2025年2月期间的数十个样本，很可能是使用被盗证书签署。

"所有样本均使用可能被盗的中国企业证书（已吊销状态）进行签名。这些证书在多个恶意软件样本和攻击活动中广泛流传，并非该驱动专属。"Elastic发布的报告指出。

ABYSSWORKER技术分析：

该驱动采用固定返回值函数，通过不透明谓词和派生函数干扰静态分析。专家指出仅存在三个此类函数且未用于谓词判断，混淆效果有限且易于识别。

初始化阶段，驱动会加载内核模块指针并启用客户端保护功能，随后创建设备对象和符号链接，为其主要功能注册回调例程。

当驱动设备被打开时，会将进程ID加入保护列表并移除目标进程的现有句柄。它通过内核线程获取客户端进程ID，并采用暴力PID遍历方式剥夺其他进程的访问权限。随后注册回调以防止未经授权的句柄创建，确保受保护进程持续不可访问。

ABYSSWORKER通过控制代码将设备I/O控制请求分发给对应处理器，这些处理器可实现文件操作、进程终止和驱动卸载功能，使恶意软件能有效瘫痪EDR系统。

"在文件复制/删除操作中，ABYSSWORKER采用的策略虽非首创但颇具特点：它没有使用NtCreateFile等常规API，而是从头构建I/O请求包(IRP)并直接发送至目标文件所在的磁盘设备。"报告补充说明。

Elastic已创建可加载该驱动API的客户端实现示例，并发布了用于检测该威胁的YARA规则。

原文始发于微信公众号（黑猫安全）：美杜莎勒索软件利用恶意Windows驱动ABYSSWORKER破坏安全工具