Silver Fox APT abuse de drivers Windows signés pour neutraliser les EDR et livrer ValleyRAT

Source: Check Point Research (CPR). CPR publie une analyse d’une campagne active attribuée à l’APT Silver Fox exploitant des drivers noyau signés mais vulnérables pour contourner les protections Windows et livrer le RAT ValleyRAT.

• Les attaquants abusent de drivers basés sur le SDK Zemana Anti‑Malware, dont un driver WatchDog Antimalware non listé et signé Microsoft (amsdk.sys 1.0.600), pour l’arrêt arbitraire de processus (y compris PP/PPL) et la neutralisation d’EDR/AV sur Windows 10/11. Un second driver (ZAM.exe 3.0.0.000) sert la compatibilité legacy (Windows 7). Les échantillons sont des loaders tout‑en‑un avec anti‑analyse, drivers intégrés, logique de kill EDR/AV et un downloader ValleyRAT.

• Après divulgation, l’éditeur a publié un driver corrigé (wamsdk.sys 1.1.100) qui corrige l’élévation de privilèges locale via DACL/FILE_DEVICE_SECURE_OPEN mais laisse possible l’arrêt de processus non protégés PP/PPL, maintenant l’angle d’attaque de kill EDR/AV. Les attaquants ont rapidement modifié un octet dans un champ de timestamp non authentifié de la signature Authenticode, conservant la signature Microsoft valide tout en changeant le hash fichier, contournant les blocklists basées sur hash.

• Le payload final est ValleyRAT (Winos), modulable, avec C2 hébergés en Chine. Le vecteur d’infection initial n’est pas établi; livraison observée via archives .rar et side‑loading DLL. Le malware embarque des anti‑VM/anti‑sandbox, filtrage via ip-api.com, et une liste de 192 processus orientée éditeurs asiatiques pour la fonction de kill. Persistance par dépôt dans C:\Program Files\RunTime et services (Termaintor, Amsdk_Service). Injection mémoire du downloader dans svchost.exe, comms XOR (clé fournie par CPR) vers le C2.

• IOCs principaux (extraits) 🧩

• Loaders (SHA‑256):
  • d24fffc34e45c168ea4498f51a7d9f7f074d469c8d4317e8e2205c33a99b5364
  • fc97ad46767a45f4e59923f96d15ec5b680a33f580af7cc4e320fb9963933f26
  • 09587073acbfec909eea69aa49774b3fdaa681db9cec7cb20a4143050897c393
  • 2f0e34860194ccd232f7c8c27fefe44c96b63468e8581f93c38767725255f945
  • 57f37bc0519557cf3f4c375fd04900a4d5afb82e3b723c6b9d0f96dc08eea84d
  • b26aecc21da159c0073ecde31cc292d87c8674af8c312776d2cc9827e5c1ad6a
  • baccea051dc6bb1731fa2bc97c5e0cc2cd37463e83bf73a400451ad7ba00a543
  • 9e72b958b4ad9fdf64b6f12a89eb2bae80097a65dc8899732bce9dafda622148
  • 35ccb9c521c301e416a3ea0c0292ae93914fe165eb45f749c16de03a99f5fa8e
  • 5f23694d44850c1963b38d8eab638505d14c5605e9623fb98e9455795fa33321
• C2 (ValleyRAT/Winos): 47.239.197.97:52116,52117 (Alibaba Cloud, HK) • 8.217.38.238:8888 (Alibaba Cloud, HK) • 156.234.58.194:52110,52111 (Yancy Limited, HK) • 156.241.144.66:52139,52160 (AROSS‑AS, HK) • 1.13.249.217:9527,9528 (Tencent, Shenzhen)
• Drivers vulnérables/abusés (SHA‑256):
  • amsdk.sys 1.0.600: 12b3d8bc5cc1ea6e2acd741d8a80f56cf2a0a7ebfa0998e3f0743fcf83fabb9e
  • wamsdk.sys 1.1.100: 0be8483c2ea42f1ce4c90e84ac474a4e7017bc6d682e06f96dc1e31922a07b10 (variante patchée abusée)
  • ZAM.exe 3.0.0.000: 9c394dcab9f711e2bf585edf0d22d2210843885917d409ee56f22a4c24ad225e

• TTPs observés (MITRE ATT&CK) 🔬

• BYOVD: Chargement de drivers noyau signés mais vulnérables pour tuer des EDR/AV et processus PP/PPL.
• Défense Evasion: Altération d’attributs non authentifiés d’Authencitode pour conserver la signature et changer le hash; anti‑VM/anti‑sandbox; packers (UPX).
• Persistence: Création de services (Termaintor, Amsdk_Service) et dépôt de fichiers sous C:\Program Files\RunTime.
• Execution/Injection: Reflective loading DLL en mémoire, injection dans svchost.exe; side‑loading via app légitime.
• Command and Control: XOR simple pour chiffrer le trafic vers des C2 en Chine; adresses/ports encodés inversés.
• Discovery/Targeting: Liste de 192 processus de solutions de sécurité (surtout Asie) à terminer.

Type d’article: publication de recherche détaillant une campagne active et ses techniques, IOCs et artefacts.

🧠 TTPs et IOCs détectés

TTP

[‘Chargement de drivers noyau signés mais vulnérables pour tuer des EDR/AV et processus PP/PPL’, ‘Altération d’attributs non authentifiés d’Authencitode pour conserver la signature et changer le hash’, “Utilisation d’anti-VM/anti-sandbox”, ‘Utilisation de packers (UPX)’, ‘Création de services pour la persistance’, ‘Dépôt de fichiers sous C:\Program Files\RunTime pour la persistance’, ‘Reflective loading DLL en mémoire’, ‘Injection dans svchost.exe’, ‘Side-loading via application légitime’, ‘Utilisation de XOR simple pour chiffrer le trafic vers des C2’, “Utilisation d’adresses/ports encodés inversés”, ‘Liste de processus de solutions de sécurité à terminer’]

IOC

{‘hash’: [‘d24fffc34e45c168ea4498f51a7d9f7f074d469c8d4317e8e2205c33a99b5364’, ‘fc97ad46767a45f4e59923f96d15ec5b680a33f580af7cc4e320fb9963933f26’, ‘09587073acbfec909eea69aa49774b3fdaa681db9cec7cb20a4143050897c393’, ‘2f0e34860194ccd232f7c8c27fefe44c96b63468e8581f93c38767725255f945’, ‘57f37bc0519557cf3f4c375fd04900a4d5afb82e3b723c6b9d0f96dc08eea84d’, ‘b26aecc21da159c0073ecde31cc292d87c8674af8c312776d2cc9827e5c1ad6a’, ‘baccea051dc6bb1731fa2bc97c5e0cc2cd37463e83bf73a400451ad7ba00a543’, ‘9e72b958b4ad9fdf64b6f12a89eb2bae80097a65dc8899732bce9dafda622148’, ‘35ccb9c521c301e416a3ea0c0292ae93914fe165eb45f749c16de03a99f5fa8e’, ‘5f23694d44850c1963b38d8eab638505d14c5605e9623fb98e9455795fa33321’, ‘12b3d8bc5cc1ea6e2acd741d8a80f56cf2a0a7ebfa0998e3f0743fcf83fabb9e’, ‘0be8483c2ea42f1ce4c90e84ac474a4e7017bc6d682e06f96dc1e31922a07b10’, ‘9c394dcab9f711e2bf585edf0d22d2210843885917d409ee56f22a4c24ad225e’], ‘ip’: [‘47.239.197.97:52116’, ‘47.239.197.97:52117’, ‘8.217.38.238:8888’, ‘156.234.58.194:52110’, ‘156.234.58.194:52111’, ‘156.241.144.66:52139’, ‘156.241.144.66:52160’, ‘1.13.249.217:9527’, ‘1.13.249.217:9528’]}

---

🔗 Source originale : https://research.checkpoint.com/2025/silver-fox-apt-vulnerable-drivers/