研究人員發(fā)現(xiàn)，臭名昭著的朝鮮黑客組織 Lazarus 部署了新的 Windows Rootkit，該惡意軟件利用了戴爾驅(qū)動程序的漏洞。

魚叉郵件攻擊在 2021 年秋季開始，已經(jīng)確認(rèn)荷蘭的一名航空航天專家與比利時的一名政治記者被攻擊。ESET
表示，本次攻擊活動的主要目標(biāo)是進(jìn)行間諜活動與數(shù)據(jù)盜竊。

濫用戴爾驅(qū)動程序進(jìn)行攻擊

攻擊者針對歐盟的攻擊目標(biāo)發(fā)送虛假的職位招聘信息，這在 2022
年是非常典型且常見的社會工程學(xué)技巧。打開文檔就會從硬編碼地址下載遠(yuǎn)程模板，加載后續(xù)惡意代碼與后門。

惡意文檔

ESET 在報告中表示，攻擊者所使用的全新 Rootkit 名為 FudModule，該惡意軟件利用戴爾硬件驅(qū)動程序中的漏洞進(jìn)行攻擊。

攻擊者利用戴爾驅(qū)動程序中的 CVE-2021-21551 漏洞，獲取讀寫內(nèi)核內(nèi)存的能力。ESET 也表示，這也是有記錄以來首次在野發(fā)現(xiàn)對該漏洞的利用。

攻擊者直接操控內(nèi)核內(nèi)存來禁用 Windows 操作系統(tǒng)能夠跟蹤其的七種安全機制，如注冊表、文件系統(tǒng)、進(jìn)程創(chuàng)建、事件跟蹤等，使安全解決方案失效。

BYOVD 攻擊

BYOVD 攻擊是指攻擊者在 Windows 中加載合法的簽名驅(qū)動程序，但這些驅(qū)動程序包含已知的漏洞。由于內(nèi)核驅(qū)動程序已簽名，Windows
系統(tǒng)將允許將驅(qū)動程序安裝在操作系統(tǒng)中，攻擊者從而利用驅(qū)動程序漏洞獲取內(nèi)核級權(quán)限。

失效證書

Lazarus 利用了戴爾硬件驅(qū)動程序（dbutil_2_3.sys）中的漏洞（CVE-2021-21551），在戴爾推送安全更新前該漏洞已經(jīng)存在了十二年。

驅(qū)動程序

2021 年 12 月，Rapid 7 的研究人員表示：“戴爾的修復(fù)并不完全，該驅(qū)動程序仍然是被攻擊者青睞的目標(biāo)”。看起來，Lazarus
的攻擊者也非常了解該漏洞，并且在安全分析人員發(fā)布之前就開始有針對性的利用。

BLINDINGCAN 與其他工具

ESET 也發(fā)現(xiàn) Lazarus 組織在攻擊行動中部署了自定義 HTTP(S) 后門 BLINDINGCAN，該后門最早由美國情報部門在 2020 年 8
月發(fā)現(xiàn)，并且在 2021 年 10 月被卡巴斯基正式歸因為 Lazarus 攻擊組織。

ESET 確定 BLINDINGCAN 后門支持 25 個命令，包括文件操作、命令執(zhí)行、C&C 通信、屏幕截取、進(jìn)程創(chuàng)建與系統(tǒng)信息泄露等。

數(shù)據(jù)回傳

攻擊活動中不僅有 Rootkit FudModule，還有用于數(shù)據(jù)泄露的上傳工具。以及各種木馬化的開源應(yīng)用程序，如 wolfSSL 與
FingerText。

將開源工具木馬化是 Lazarus
的一貫風(fēng)格，微軟在[研究報告](https://www.bleepingcomputer.com/news/security/microsoft-
lazarus-hackers-are-weaponizing-open-source-software/)中也提到了這一點。攻擊者已經(jīng)開始將魔爪伸向了
PuTTY、KiTTY、TightVNC、Sumatra PDF Reader 和 muPDF/Subliminal Recording 等程序。

網(wǎng)絡(luò)安全工程師企業(yè)級學(xué)習(xí)路線

這時候你當(dāng)然需要一份系統(tǒng)性的學(xué)習(xí)路線

如圖片過大被平臺壓縮導(dǎo)致看不清的話，可以在文末下載（無償?shù)?#xff09;，大家也可以一起學(xué)習(xí)交流一下。

一些我收集的網(wǎng)絡(luò)安全自學(xué)入門書籍

一些我白嫖到的不錯的視頻教程：

上述資料【掃下方二維碼】就可以領(lǐng)取了，無償分享

總結(jié)

以上是生活随笔為你收集整理的Lazarus 滥用戴尔驱动程序漏洞部署 FudModule Rootkit的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。