研究人員發現，臭名昭著的朝鮮黑客組織 Lazarus 部署了新的 Windows Rootkit，該惡意軟件利用了戴爾驅動程序的漏洞。

魚叉郵件攻擊在 2021 年秋季開始，已經確認荷蘭的一名航空航天專家與比利時的一名政治記者被攻擊。ESET
表示，本次攻擊活動的主要目標是進行間諜活動與數據盜竊。

濫用戴爾驅動程序進行攻擊

攻擊者針對歐盟的攻擊目標發送虛假的職位招聘信息，這在 2022
年是非常典型且常見的社會工程學技巧。打開文檔就會從硬編碼地址下載遠程模板，加載后續惡意代碼與后門。

惡意文檔

ESET 在報告中表示，攻擊者所使用的全新 Rootkit 名為 FudModule，該惡意軟件利用戴爾硬件驅動程序中的漏洞進行攻擊。

攻擊者利用戴爾驅動程序中的 CVE-2021-21551 漏洞，獲取讀寫內核內存的能力。ESET 也表示，這也是有記錄以來首次在野發現對該漏洞的利用。

攻擊者直接操控內核內存來禁用 Windows 操作系統能夠跟蹤其的七種安全機制，如注冊表、文件系統、進程創建、事件跟蹤等，使安全解決方案失效。

BYOVD 攻擊

BYOVD 攻擊是指攻擊者在 Windows 中加載合法的簽名驅動程序，但這些驅動程序包含已知的漏洞。由于內核驅動程序已簽名，Windows
系統將允許將驅動程序安裝在操作系統中，攻擊者從而利用驅動程序漏洞獲取內核級權限。

失效證書

Lazarus 利用了戴爾硬件驅動程序（dbutil_2_3.sys）中的漏洞（CVE-2021-21551），在戴爾推送安全更新前該漏洞已經存在了十二年。

驅動程序

2021 年 12 月，Rapid 7 的研究人員表示：“戴爾的修復并不完全，該驅動程序仍然是被攻擊者青睞的目標”。看起來，Lazarus
的攻擊者也非常了解該漏洞，并且在安全分析人員發布之前就開始有針對性的利用。

BLINDINGCAN 與其他工具

ESET 也發現 Lazarus 組織在攻擊行動中部署了自定義 HTTP(S) 后門 BLINDINGCAN，該后門最早由美國情報部門在 2020 年 8
月發現，并且在 2021 年 10 月被卡巴斯基正式歸因為 Lazarus 攻擊組織。

ESET 確定 BLINDINGCAN 后門支持 25 個命令，包括文件操作、命令執行、C&C 通信、屏幕截取、進程創建與系統信息泄露等。

數據回傳

攻擊活動中不僅有 Rootkit FudModule，還有用于數據泄露的上傳工具。以及各種木馬化的開源應用程序，如 wolfSSL 與
FingerText。

將開源工具木馬化是 Lazarus
的一貫風格，微軟在[研究報告](https://www.bleepingcomputer.com/news/security/microsoft-
lazarus-hackers-are-weaponizing-open-source-software/)中也提到了這一點。攻擊者已經開始將魔爪伸向了
PuTTY、KiTTY、TightVNC、Sumatra PDF Reader 和 muPDF/Subliminal Recording 等程序。

網絡安全工程師企業級學習路線

這時候你當然需要一份系統性的學習路線

如圖片過大被平臺壓縮導致看不清的話，可以在文末下載（無償的），大家也可以一起學習交流一下。

一些我收集的網絡安全自學入門書籍

一些我白嫖到的不錯的視頻教程：

上述資料【掃下方二維碼】就可以領取了，無償分享

總結

以上是生活随笔為你收集整理的Lazarus 滥用戴尔驱动程序漏洞部署 FudModule Rootkit的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。