Source: https://thehackernews.com/2025/09/silver-fox-exploits-microsoft-signed.html
🛡 概要
サイバー犯罪者グループ「Silver Fox」が、WatchDog Anti-malwareに関連する未知の脆弱なドライバを悪用し、Bring Your Own Vulnerable Driver(BYOVD)攻撃を実施しています。この攻撃は、侵害されたホストにインストールされたセキュリティソリューションを無力化することを目的としています。特に、脆弱なドライバ「amsdk.sys」(バージョン1.0.600)がターゲットにされており、これによりValleyRATマルウェアが展開されます。
🔍 技術詳細
「amsdk.sys」は64ビットのWindowsカーネルデバイスドライバで、Zemana Anti-Malware SDKに基づいて構築されています。このドライバはMicrosoftによって署名されており、Microsoftの脆弱なドライバブロックリストには掲載されていません。また、コミュニティプロジェクトLOLDriversによっても検出されていません。Silver Foxは、Windows 7用に既知の脆弱なZemanaドライバ「zam.exe」を利用し、Windows 10または11用にはWatchDogドライバを使用する二重ドライバ戦略を採用しています。WatchDogドライバは、任意のプロセスを保護されているかどうかを確認せずに終了させることができるなど、複数の脆弱性を含んでいます。
⚠ 影響
この攻撃の最終目的は、エンドポイント保護製品を無力化し、マルウェアの展開と持続を容易にすることです。Check Pointによると、Silver FoxはValleyRATを最終ペイロードとして使用し、リモートアクセスと制御能力を提供します。このキャンペーンは、実行時に虚偽のシステムエラーメッセージを表示するなど、いくつかの一般的な対分析チェックを実行します。これにより、攻撃者はセキュリティ対策を回避し、感染したマシンにモジュラーValleyRATバックドアをダウンロードさせることができます。
🛠 対策
Watchdogは、責任ある開示の後、LPEリスクに対処するためにパッチ(バージョン1.1.100)をリリースしましたが、任意のプロセス終了の問題は解決されていません。攻撃者は、Microsoftの署名を無効にせずにドライバのバイトを変更することで、迅速に適応しています。これにより、ハッシュベースのブロックリストを回避することが可能になります。このような新たな脅威に対処するためには、未知の署名されたドライバの脆弱性を認識し、効果的な防御策を講じることが重要です。ユーザーは、最新のセキュリティパッチを適用し、怪しいリンクやファイルを避けることが推奨されます。
