电话

15169028800

黑客利用戴尔固件驱动程序高危漏洞部署 Rootkit 恶意程序

标签: 戴尔官网驱动下载 2023-04-30 

  最近的网络安全研究中发现,朝鲜支持的 Lazarus Group 黑客组织利用戴尔固件驱动程序中的漏洞部署 Windows rootkit 恶意程序。

  2021年下半年发生的自带易受攻击的驱动程序 ( BYOVD ) 攻击是黑客组织间谍活动的另一种变体,称为Operation In(ter)ception,主要针对航空航天和国防工业。

  该活动以包含恶意亚马逊主题文件的鱼叉式网络钓鱼电子邮件开始,目标是荷兰一家航空航天公司的员工。攻击链在诱饵文件被打开后展开,实现恶意 dropper 的分发,这些是开源项目的木马化版本。

  根据中国网络安全行业门户极牛网的梳理,在样本中除了基于 HTTPS 的下载器和上传器之外,还发现了 Lazarus 丢弃了 FingerText 和 sslSniffer(wolfSSL 库的一个组件)的武器化版本的证据。

  这些入侵还为该组织选择的被称为 BLINDINGCAN 的后门(也称为 AIRDRY 和 ZetaNile)铺平了道路,攻击者可以利用它来控制系统。

  值得注意的是一个 rootkit 模块,该模块利用戴尔驱动程序漏洞获得读写内核内存的能力。该漏洞的漏洞号为 CVE-2021-21551,与 dbutil_2_3.sys 中的一组关键权限提升漏洞有关。

  安全研究人员指出,这代表了首次记录到的对 CVE-2021-21551 漏洞的滥用。这个工具与漏洞相结合,会禁用对受感染机器上所有安全防护体系的监控。

  攻击者使用他们的内核内存写访问来禁用 Windows 操作系统提供的七种机制来监控其操作,如注册表、文件系统、进程创建、事件跟踪等,基本上以非常通用和强大的方式使安全防护体系失明。

  这不是攻击者第一次使用易受攻击的驱动程序来发起其 rootkit 攻击。就在上个月,安全研究机构就详细介绍了利用名为 ene.sys 的合法驱动程序来解除机器中安装的安全软件的情况。