Easy Circle Logo
返回新聞列表
勒索軟件利用 Microsoft 簽名惡意驅動程式癱瘓 EDR:加密前已有 10 台主機受害

勒索軟件利用 Microsoft 簽名惡意驅動程式癱瘓 EDR:加密前已有 10 台主機受害

2026年7月12日·Tech Times·0 次閱讀
小圈
小圈解讀

有壞人寫咗個專門用嚟「熄咗」保安軟件嘅程式,仲成功呃到 Microsoft 幫佢簽名認證,令到電腦以為佢係「好人」而放行,結果起碼 10 部電腦喺防毒軟件完全冇反應嘅情況下被鎖機勒索。

點解重要

呢單新聞話畀香港老闆聽,唔係裝咗防毒軟件就一勞永逸。如果黑客攞到「官方通行證」(簽名),佢哋可以好似入屋熄咗個警報器咁,令你嘅保安系統變咗擺設。做生意嘅一定要確保電腦系統有做足「核心隔離」等深層防禦。

新手貼士

如果你用緊 Windows 11,記得去「設定」入面搵「裝置安全性」,睇下「核心隔離」係咪已經開咗。呢個功能就好似幫你間屋加多道隱形鋼閘,就算黑客有你大門條匙(官方簽名),都好難入到去搞破壞。

術語小字典

核心模式 (Ring 0)電腦入面最高權限嘅地方,好似大廈嘅機房,入到去就可以控制晒成座樓嘅水電同電梯。

EDR (終端檢測與響應)高級版嘅防毒軟件,除咗捉病毒,仲會好似 24 小時保安咁監控住部電腦有無奇怪動作。

BYOVD (自帶漏洞驅動程式)黑客帶一個有問題嘅「零件」(驅動程式)入你部電腦,利用呢個零件嘅漏洞嚟攞到最高控制權。

核心回調 (Kernel Callbacks)操作系統同保安軟件之間嘅「通報機制」,話畀保安聽而家邊個開緊門、邊個搬緊嘢。

勒索軟件利用 Microsoft 簽名惡意驅動程式癱瘓 EDR:加密前已有 10 台主機受害

一個安靜演化了四年的勒索軟件行動,剛剛實現了安全研究人員表示前所未見的突破:它獲得了一個合法簽名的 Microsoft 核心驅動程式,該程式專為摧毀終端安全軟件而設計——並在任何人能夠反應之前,利用它癱瘓了單一受害機構內至少 10 台機器的防禦系統。Broadcom 的 Symantec Threat Hunter Team 於 2026 年 7 月 9 日披露了這次行動,將該勒索軟件命名為 GodDamn,並將該核心驅動程式命名為 PoisonX。

這次披露對任何運行 Windows 終端的機構都至關重要,因為它所描述的技術使標準的終端安全軟件在結構上失效——不是被繞過或規避,而是被強行關閉——且這一切都發生在任何文件被加密之前。

根據 Symantec Threat Hunter Team 的說法,GodDamn 背後的組織被追蹤為 Hyadina,自 2022 年 3 月以來一直持續運作。其之前的產品——Monster 勒索軟件,以及 2024 年 6 月品牌重塑後的 Beast 勒索軟件——針對美國的醫療保健、製造和教育機構,同時刻意避開獨立國家聯合體(CIS)國家的機器。GodDamn 代表了該組織的第三代產品,而 PoisonX 的加入標誌著先前版本所不具備的技術升級:這是一種核心層級(kernel-level)的武器,任何在用戶空間運行的安全工具都無力抵抗。

為什麼您的終端安全軟件在 PoisonX 加載後無法阻止它

要理解 PoisonX 的作用以及它為何有效,您需要了解 Windows 如何管理軟件層級之間的信任。操作系統將其執行環境劃分為特權環(privilege rings)。普通應用程式——文書處理器、瀏覽器,甚至是安全產品的儀表板界面——都在 Ring 3(也稱為用戶模式,user mode)運行。它們只能讀寫自己的記憶體,任何更敏感的操作都必須請求核心(kernel)。核心模式(kernel-mode)代碼在 Ring 0 運行。正如 Windows 核心模式架構所解釋的,它擁有對所有記憶體、所有硬件的無條件訪問權限,並有能力終止機器上的任何進程。

終端檢測與響應(EDR)工具利用名為 Protected Process Light 的功能保護自己免受篡改,防止用戶模式的管理員將其關閉。但防篡改保護是在 Ring 3 運作的。在 Ring 0 運行的進程不需要請求——它可以直接進入安全進程的記憶體空間並將其終止,無論該進程為自己設置了什麼保護。這正是 PoisonX 的作用。

PoisonX(在磁碟上存儲為 g11.sys)並不是攻擊者發現並武器化的有缺陷驅動程式——它是專門為殺死安全軟件而編寫的驅動程式,具有一個未公開的 IOCTL 接口,用於接收來自攻擊者控制代碼的殺死指令。當攻擊者以 Symantec 自家產品命名的可執行文件 symantec.exe 將 PoisonX 放入 Windows 系統驅動程式存儲庫並將其註冊為服務時,該驅動程式會立即加載,並開始移除 EDR 工具用來接收系統事件通知的核心回調(kernel callbacks)。這些工具仍在運行,它們的儀表板顯示為綠色(正常),但它們已經變成了「盲人」——操作系統不再告訴它們機器上正在發生什麼。

Microsoft 簽署了 PoisonX:簽名的真正含義

Symantec 在 7 月 9 日的披露中最令人不安的細節不是 PoisonX 的存在,而是 PoisonX 攜帶有效的「Microsoft Windows Hardware Compatibility Publisher」簽名——這意味著 Microsoft 自家的硬件兼容性計劃處理並簽署了這個驅動程式。

這極為罕見,以至於 Brigid O Gorman 直接對此作出回應:「很容易會說,是的,它不應該被 Microsoft 簽名。然而,我們不知道攻擊者採取了哪些步驟來獲得驅動程式簽名,或者他們可能如何欺騙 Microsoft 這樣做。」

該解釋揭示的差距是結構性的。Microsoft 的驅動程式簽名計劃驗證發布者身份——它確認提交此驅動程式的人通過了硬件開發中心(Hardware Dev Center)的驗證過程。它並不分析驅動程式的行為,也不掃描惡意的 IOCTL 接口。如果一名開發者成功通過身份驗證,並將一個設計用於終止防毒進程的代碼包裝成安全研究工具提交,就可以獲得簽名。系統並沒有損壞;它正是按照設計運作的。該設計只是沒有考慮到開發者在提供合法憑證的同時心懷惡意。

PoisonX 的作者在 GitHub 上使用別名「oxfemale」,並在 LinkedIn 上自稱為俄羅斯安全研究員,他於 2026 年 4 月 7 日發布了該驅動程式,將其描述為研究工具。Symantec 的立場很明確:該驅動程式沒有合法的用途。在幾週內,它就被 Hyadina 組織武器化,並納入分發給 The Gentlemen 勒索軟件即服務(RaaS)行動分支機構的 GentleKiller 工具包中。截至 2026 年 6 月,該行動已在 70 多個國家聲稱擁有 478 名受害者。

2026 年 6 月的攻擊如何在四天內展開

Symantec 詳細分析的事件發生在 2026 年 5 月 29 日至 6 月 3 日,這是一次蓄意的、分階段的入侵,而非隨機搶奪。Hyadina 最初獲取受害機構訪問權限的確切方法尚不清楚——初始訪問向量從未被識別。

第一個確認的惡意活動出現在 5 月 29 日,當時在機構內的「電腦 1」上出現了 AnyDesk 遠端桌面安裝。該文件不在標準安裝目錄中,而是在用戶的「音樂」資料夾中,這與授權的 IT 部署不符。它正向未知的 IP 地址進行外連。攻擊者當時已經進入內部。

5 月 30 日,操作者轉移到第二台主機,並在「音樂」資料夾中放置了 symantec.exe。該文件將 PoisonX 作為 g11.sys 放入系統驅動程式存儲庫。在同一台主機上,一個包含 14 個工具的憑證竊取工具包出現在用戶個人資料的子目錄中。其中 13 個工具來自 NirSoft(一個合法的 Windows 實用程式網站),第 14 個是 Mimikatz。根據 Symantec Threat Hunter Team 的說法,它們共同從瀏覽器、Windows 憑證管理員、緩存的網域登錄、VNC 會話、電子郵件客戶端、Wi-Fi 設定檔和實時網絡流量中提取憑證。

到 6 月 2 日,操作者已使用 PsExec 進行橫向移動,並在機構內至少 10 台主機上將 AnyDesk 安裝為註冊的 Windows 自動啟動服務。在完成每次 AnyDesk 安裝後,他們會終止正在運行的 AnyDesk 進程,短暫等待後重新啟動機器。結果是獲得了一個持久的遠端訪問據點,即使重啟也能存活,並分佈在兩位數數量的系統中。

6 月 3 日,加密負載出現在另一個網絡分段。該二進制文件 encrypter-windows-gui-x86.exe 從用戶的「下載」或「音樂」資料夾部署,並使用受害機構自己的名稱作為文件擴展名重命名加密文件,而不是 Hyadina 在其他行動中使用的 .God8Damn 擴展名。

BYOVD 不再是專門技術:它已成為標準犯罪基礎設施

GodDamn 採用的技術在安全行業有一個名稱:自帶漏洞驅動程式(Bring Your Own Vulnerable Driver,簡稱 BYOVD)。這種攻擊的標準形式包括尋找一個合法但有缺陷的已簽名驅動程式——如顯示卡實用程式、遊戲的防作弊組件、硬件監控工具——並利用其漏洞達到 Ring 0。BlackByte、AvosLocker、Lazarus Group、Qilin、Warlock 和 DeadLock 都部署過 BYOVD 行動。

PoisonX 代表了一種不同的變體:不是一個有缺陷的合法驅動程式,而是一個以某種方式通過了 Microsoft 簽名審查的蓄意惡意驅動程式。這種區別在操作上很重要。傳統的 BYOVD 工具利用具有某些合法用途的驅動程式中的缺陷——這意味著該驅動程式最終可能會被修補,而修補會減少攻擊面。PoisonX 沒有可修補的缺陷。它完全按照其作者的設計運作。唯一的緩解措施是通過雜湊值(hash)或發布者證書來封鎖它——這正是「漏洞驅動程式封鎖清單」(Vulnerable Driver Blocklist)存在的目的。

問題在於時效性。Symantec Threat Hunter Team 在研究報告中明確指出:「從識別出驅動程式到封鎖清單更新到達企業終端之間,存在數天甚至數週的滯後。這意味著在任何給定時間,只有一部分已知的漏洞驅動程式被列入封鎖清單,不幸的是,攻擊者的行動往往比封鎖清單快。」

研究人員獨立確認了同樣的差距。漏洞驅動程式封鎖清單通過 Windows 功能版本進行重大更新——大約每年一到兩次——對於緊急威脅會有更有針對性的添加,但供應商協調和兼容性測試需要時間,而攻擊者不需要。ESET 2026 年 3 月的分析發現,目前有 54 種不同的 EDR 殺手工具正在使用 BYOVD,共同濫用 35 個已簽名的漏洞驅動程式。當封鎖清單覆蓋到一個新武器化的驅動程式時,使用它的攻擊行動通常已經完成。

安全團隊現在可以做什麼

封鎖清單的差距並不意味著終端保護毫無價值——它意味著它不能是唯一重要的層級。Symantec 的研究和更廣泛的 BYOVD 文獻匯集了幾項獨立於驅動程式是否已被列入封鎖清單的控制措施。

**HVCI(虛擬化基於的代碼完整性)**是最重要的。通過將代碼完整性強制執行移至虛擬化管理程序(hypervisor)——位於 Ring 0 之下的一層——HVCI 可以封鎖未經明確允許的核心模式代碼,即使該代碼攜帶有效的 Microsoft 簽名。它在大多數新的 Windows 11 設備上默認開啟,並可通過 Windows 安全設定中的「裝置安全性」→「核心隔離」啟用。在尚未激活的 Windows 企業部署中,啟用它應是首要任務。

**WDAC(Windows Defender 應用程式控制)**策略可以在驅動程式到達核心之前阻止未經授權的驅動程式加載。Microsoft 推薦的驅動程式封鎖規則(以可下載的 XML 策略形式提供)涵蓋了已知的漏洞驅動程式,並且可以在不等待 Patch Tuesday 更新的情況下應用。

Symantec Threat Hunter Team 強調了驅動程式加載前的行為檢測:「行為和自適應保護非常重要——因為它們會封鎖網絡上的可疑行為,即使該行為源自看似合法的工具,而不是簡單地封鎖明顯的惡意文件或工具。」具體包括:AnyDesk 和其他遠端管理工具出現在異常目錄中(用戶的「音樂」資料夾不是 IT 部署軟件的地方);在標準補丁週期之外出現類型為「核心驅動程式」的新 Windows 服務;以及 .sys 文件出現在用戶可寫入的目錄而非 System32\drivers 中。

驅動程式安裝事件監控提供了不依賴於簽名知識的早期預警。Sysmon 事件識別碼 6 記錄驅動程式加載事件。當封鎖清單中的驅動程式被拒絕時,Windows 代碼完整性日誌會記錄事件識別碼 3077。兩者都不需要預先知道攻擊者將部署哪個驅動程式。

離線或不可變備份是最後的防線。如果攻擊者在加密開始前成功接觸到 10 台主機並癱瘓了所有防禦,他們就贏得了檢測與響應的博弈。恢復完全取決於攻擊者無法從受損的網域控制站(domain controller)接觸到的備份。

一個運作四年、不斷改進的威脅者

Hyadina 最初出現在 2022 年 3 月,當時它部署了 Monster 勒索軟件——這是一個針對 32 位元 Windows 系統、基於 Delphi 的加密程式,通過分支機構作為典型的勒索軟件即服務運作。Symantec 記錄的 2022 年 11 月攻擊展示了與 2026 年 6 月 GodDamn 攻擊相同的工具包模式:Mimikatz、NirSoft 工具、AnyDesk 和 NetScan。工具集在四年內沒有顯著變化,但規避防禦的能力發生了實質性變化。

Beast 在 2024 年 6 月取代了 Monster,增加了更強的加密、多線程處理和更廣泛的目標。GodDamn 在 2026 年 5 月取代了 Beast 並加入了 PoisonX。這種進展並非新組織進入領域——而是一個被追蹤為 Hyadina 別名的持久開發者,系統性地改進同一項行動。

Symantec 的結論很直接:「GodDamn 使用相對較新發現的 PoisonX 惡意驅動程式組件,代表了該組織在規避防禦能力上的升級,表明 Hyadina 正在繼續積極開發其勒索軟件及其功能。」根據 CYFIRMA 的說法,GodDamn 入侵中的贖金談判結合使用了電子郵件聯繫和 qTox 加密通訊應用程式。

GodDamn 行動仍然活躍。Symantec 已在 Symantec Protection Bulletin 上發布了入侵指標,包括 PoisonX (g11.sys) 和 symantec.exe 的 SHA-256 雜湊值。無論其 EDR 是否發出警報,各機構都應對照其終端庫存和驅動程式存儲庫交叉檢查這些雜湊值——PoisonX 的全部意義就在於,被癱瘓的 EDR 不會對隨後發生的事情發出警報。

常見問題解答

什麼是 BYOVD,GodDamn 如何使用它? BYOVD(Bring Your Own Vulnerable Driver)是一種技術,攻擊者加載一個合法且已簽名的 Windows 核心驅動程式,然後利用它達到 Ring 0——Windows 系統中的最高特權級別。在 Ring 0,攻擊者可以終止任何正在運行的進程,包括啟用了防篡改保護的終端安全軟件。大多數 BYOVD 攻擊利用現有合法驅動程式中的缺陷。GodDamn 使用了一種不同的變體:PoisonX 是一個蓄意惡意的核心驅動程式,其作者顯然在提交簽名過程中誤導了其功能,從而獲得了合法的 Microsoft Hardware Compatibility Publisher 簽名。一旦加載,PoisonX 就會終止安全進程並移除核心回調——即 EDR 工具依賴於檢測可疑活動的通知。

如果我的 EDR 正在運行,是否意味著我受到了保護? 不一定。PoisonX 會移除 EDR 工具向操作系統註冊以接收事件通知的核心回調。在 PoisonX 運行後,EDR 產品可能會繼續運行——其儀表板可能顯示為健康——但它將不再收到有關進程創建、驅動程式加載或機器上文件活動的告警。這是一個結構性限制:在用戶空間(Ring 3)運行的安全軟件沒有可靠的機制來檢測或抵抗在核心空間(Ring 0)運行的進程。在核心級別之下或核心級別運行的控制措施——HVCI、WDAC 應用程式控制策略以及針對驅動程式安裝事件本身的檢測規則——是在 BYOVD 攻擊開始後仍然有效的措施。

為什麼 Microsoft 會簽署一個旨在殺死安全軟件的驅動程式? Microsoft 的驅動程式簽名計劃驗證發布者身份,而非驅動程式行為。硬件兼容性計劃確認提交驅動程式的人完成了身份驗證並通過了兼容性測試過程——它並不分析驅動程式的 IOCTL 接口是否設計用於惡意進程終止。PoisonX 的作者將其作為「研究工具」提交。Symantec 的研究人員確認它沒有合法用途,並表示「我們不知道攻擊者採取了哪些步驟來獲得驅動程式簽名,或者他們可能如何欺騙 Microsoft 這樣做」。這是信任模型中一個已知的結構性差距:身份驗證和行為審查是不同的問題,而目前的簽名計劃只解決了第一個問題。

機構可以採取什麼最快的方法來減少受到這種特定攻擊的風險? 在尚未激活的 Windows 終端上啟用 HVCI(虛擬化基於的代碼完整性)。HVCI 在虛擬化管理程序級別(Ring 0 之下)強制執行代碼完整性,並且可以封鎖未經明確允許的核心模式驅動程式,即使它們攜帶 Microsoft 簽名。它是唯一常用的、在 PoisonX 所利用的核心級別攻擊面之下運行的控制措施。對於無法立即部署 HVCI 的環境,應配置 WDAC 策略以阻止未經授權的驅動程式加載,應用 Microsoft 推薦的驅動程式封鎖規則,並利用 Sysmon 事件識別碼 6 監控終端,以便在加密開始前檢測到可疑的驅動程式安裝。

資料來源:Tech Times

Ransomware Used Microsoft-Signed Malicious Driver to Kill EDR: 10 Hosts Hit Before Encryption - Tech Times

閱讀原文

本文由 AI 自動翻譯整理,內容以原文為準。

勒索軟件網絡安全Microsoft驅動程式EDR資訊安全