Lazarus黑客利用Windows驱动零日漏洞安装根套件

拉扎鲁斯集团利用Windows AFD.sys驱动程序中的零日漏洞（CVE-2024-38193），获取提升权限并安装FUDModule根套件。该漏洞在2024年8月的补丁星期二被微软修复，属于自带易受攻击驱动程序（BYOVD）类别，攻击者通过利用AFD.sys的弱点进入Windows内核。Gen Digital的研究人员首次揭示了这一漏洞，指出拉扎鲁斯集团在2024年6月利用该漏洞安装恶意软件以逃避监控。BYOVD攻击允许攻击者安装已知漏洞的驱动程序以获取内核级权限，AFD.sys作为所有Windows设备的预装驱动程序，使得攻击更具隐蔽性。该组织过去曾利用其他驱动程序进行类似攻击，进一步展示了其恶意活动的复杂性与威胁。

臭名昭著的朝鲜黑客组织拉扎鲁斯集团利用Windows AFD.sys驱动程序中的零日漏洞，以获取提升的权限并在目标系统上安装FUDModule根套件。该漏洞被识别为CVE-2024-38193，并在2024年8月的补丁星期二中由微软进行了修复，此外还解决了其他七个零日漏洞。该漏洞属于自带易受攻击驱动程序（BYOVD）类别，允许攻击者利用Windows辅助功能驱动程序（AFD.sys）中的弱点，作为Winsock协议进入Windows内核的门户。

该漏洞由Gen Digital的研究人员揭示，他们报告称拉扎鲁斯黑客组织利用AFD.sys的漏洞作为零日来安装FUDModule根套件。这种特定的恶意软件旨在通过禁用Windows中的监控功能来逃避检测。在2024年6月初（北京时间2024-06-01 00:00，星期六），安全分析师Luigino Camastra和Milanek透露，拉扎鲁斯集团正在利用AFD.sys驱动程序中的这一隐藏安全漏洞，这是Windows操作系统的关键组件。这一利用使他们获得了对系统敏感区域的未经授权访问，进一步促进了他们的恶意活动。

自带易受攻击驱动程序（BYOVD）攻击发生在攻击者将已知漏洞的驱动程序安装到目标机器上，随后利用这些驱动程序获取内核级权限。通常，威胁行为者会滥用第三方驱动程序，包括与防病毒软件或硬件相关的驱动程序，这些驱动程序需要高权限与内核进行交互。与该特定漏洞相关的风险因AFD.sys是所有Windows设备上预装的驱动程序而加剧。这一特性使得威胁行为者能够在不需要安装容易被Windows检测和阻止的旧版易受攻击驱动程序的情况下执行他们的攻击。拉扎鲁斯集团在以往的BYOVD攻击中，曾利用其他驱动程序，如appid.sys和Dell dbutil_2_3.sys，来部署FUDModule。

关键词：零日^^漏洞,lazarus,windows