Lazarus黑客利用Windows驱动零日漏洞安装根套件

发布时间:2024-08-21 05:00  浏览量:30

拉扎鲁斯集团利用Windows AFD.sys驱动程序中的零日漏洞(CVE-2024-38193),获取提升权限并安装FUDModule根套件。该漏洞在2024年8月的补丁星期二被微软修复,属于自带易受攻击驱动程序(BYOVD)类别,攻击者通过利用AFD.sys的弱点进入Windows内核。Gen Digital的研究人员首次揭示了这一漏洞,指出拉扎鲁斯集团在2024年6月利用该漏洞安装恶意软件以逃避监控。BYOVD攻击允许攻击者安装已知漏洞的驱动程序以获取内核级权限,AFD.sys作为所有Windows设备的预装驱动程序,使得攻击更具隐蔽性。该组织过去曾利用其他驱动程序进行类似攻击,进一步展示了其恶意活动的复杂性与威胁。

臭名昭著的朝鲜黑客组织拉扎鲁斯集团利用Windows AFD.sys驱动程序中的零日漏洞,以获取提升的权限并在目标系统上安装FUDModule根套件。该漏洞被识别为CVE-2024-38193,并在2024年8月的补丁星期二中由微软进行了修复,此外还解决了其他七个零日漏洞。该漏洞属于自带易受攻击驱动程序(BYOVD)类别,允许攻击者利用Windows辅助功能驱动程序(AFD.sys)中的弱点,作为Winsock协议进入Windows内核的门户。

该漏洞由Gen Digital的研究人员揭示,他们报告称拉扎鲁斯黑客组织利用AFD.sys的漏洞作为零日来安装FUDModule根套件。这种特定的恶意软件旨在通过禁用Windows中的监控功能来逃避检测。在2024年6月初(北京时间2024-06-01 00:00,星期六),安全分析师Luigino Camastra和Milanek透露,拉扎鲁斯集团正在利用AFD.sys驱动程序中的这一隐藏安全漏洞,这是Windows操作系统的关键组件。这一利用使他们获得了对系统敏感区域的未经授权访问,进一步促进了他们的恶意活动。

自带易受攻击驱动程序(BYOVD)攻击发生在攻击者将已知漏洞的驱动程序安装到目标机器上,随后利用这些驱动程序获取内核级权限。通常,威胁行为者会滥用第三方驱动程序,包括与防病毒软件或硬件相关的驱动程序,这些驱动程序需要高权限与内核进行交互。与该特定漏洞相关的风险因AFD.sys是所有Windows设备上预装的驱动程序而加剧。这一特性使得威胁行为者能够在不需要安装容易被Windows检测和阻止的旧版易受攻击驱动程序的情况下执行他们的攻击。拉扎鲁斯集团在以往的BYOVD攻击中,曾利用其他驱动程序,如appid.sys和Dell dbutil_2_3.sys,来部署FUDModule。

外部推荐