Microsoft signe un driver, les attaquants utilisent le driver Microsoft signĂ© comme bĂ©lier pour fracasser les protections Windows⊠et vous pensiez que votre antivirus vous protĂ©geait ? Bienvenue dans le monde merveilleux des BYOVD (Bring Your Own Vulnerable Driver), oĂč la cybersĂ©curitĂ© se joue Ă un octet prĂšs.
Check Point Research a levĂ© le voile sur une campagne active du groupe Silver Fox APT, qui exploite un driver Microsoft signĂ© mais vulnĂ©rable : amsdk.sys (WatchDog Antimalware v1.0.600). Lâobjectif ? DĂ©gommer les processus protĂ©gĂ©s, neutraliser les EDR/AV et installer un petit cadeau : le backdoor ValleyRAT.
đ ïžđ Lâarme du crime : amsdk.sys, un driver certifiĂ© Microsoft
Silver Fox ne sâest pas fatiguĂ© : pourquoi dĂ©velopper un rootkit compliquĂ© quand on peut recycler un driver officiel et signĂ© par Microsoft ?
- Le driver amsdk.sys permet dâaccĂ©der Ă des fonctions normalement interdites : ouverture de handles protĂ©gĂ©s, terminaison de processus sĂ©curisĂ©s, accĂšs brut au disqueâŠ
- RĂ©sultat : EDR et antivirus se retrouvent aussi utiles quâun parapluie trouĂ© sous une tempĂȘte.
Pire encore, Microsoft a publiĂ© un patch (wamsdk.sys v1.1.100)⊠mais il nâa pas corrigĂ© la possibilitĂ© de tuer des processus protĂ©gĂ©s. Silver Fox a donc modifiĂ© un seul octet (le timestamp non authentifiĂ©) pour changer le hash tout en gardant la signature valide. Oui, un octet. Et boum, ça passe crĂšme sur Windows 10/11 flambant Ă jour.
đ§ȘđŠ Un loader digne dâun couteau suisse
Lâattaque repose sur un loader tout-en-un qui embarque :
- Deux drivers (lâhistorique Zemana ZAM.exe pour les vieilles versions, et amsdk.sys pour Windows modernes),
- Un module anti-analyse blindĂ© dâanti-VM, anti-sandbox et dĂ©tections hyperviseur,
- Un tĂ©lĂ©chargeur ValleyRAT prĂȘt Ă sâinjecter dans un process lĂ©gitime (souvent svchost.exe) via process injection.
Bref, un kit compatible multi-Windows, façon USB universel⊠sauf que celui-ci installe une porte dérobée made in China.
đ đ ValleyRAT, le rat qui se cache dans vos process
Le butin de cette belle opération ? ValleyRAT (a.k.a Winos), un RAT modulaire :
- Hébergé sur une infrastructure en Chine (Alibaba Cloud & co),
- Communication XOR chiffrée pour garder la discrétion,
- Modules flexibles pour piloter la machine Ă distance, persister via services, et faire joujou avec les disques.
Persistence ? Classique : RuntimeBroker.exe + Amsdk_Service.sys déposés dans C:\Program Files\RunTime, services Termaintor et Amsdk_Service créés, le tout chargé au boot via registres.
đđ MITRE ATT&CK Bingo
Silver Fox coche presque toute la grille :
- [T1218] Proxy Execution avec un driver Microsoft signé,
- [T1215] Chargement de modules kernel vulnérables,
- [T1055] Injection dans svchost.exe,
- [T1497] Evasion sandbox & VM,
- [T1543] CrĂ©ation de services pour persistanceâŠ
Un vrai best-of de la triche avancée.
đšâ ïž Pourquoi câest flippant ?
Parce que ça montre deux choses inquiétantes :
- La confiance dans la signature Microsoft est brisée : un driver signé =/= un driver sûr.
- Le patching rapide ne suffit pas : mĂȘme corrigĂ©, le driver restait exploitable, et les attaquants se contentent de bricoler un octet pour repartir Ă lâattaque.
En clair : vos dĂ©fenses tombent sans mĂȘme un 0-day. On parle juste dâun vieux driver recyclĂ©, validĂ© par Windows, qui offre aux attaquants un accĂšs kernel VIP.
đĄïžđĄ Comment limiter les dĂ©gĂąts ?
Check Point recommande (et nous, on insiste) :
- Activer la Microsoft Vulnerable Driver Blocklist (oui, elle existe, encore faut-il la mettre en place),
- Utiliser des détections basées sur le comportement plutÎt que de se fier à la seule signature,
- Surveiller les IOCTL suspects (ex.
0x80002048pour termination de process), - Bloquer proactivement les drivers vulnérables connus dans vos policies EDR.
đ€Ż Conclusion : 1 octet, 0 dĂ©fense
Lâaffaire Silver Fox prouve que les APT ne cherchent plus Ă inventer la poudre. Ils exploitent des failles dĂ©jĂ lĂ , se glissent dans les interstices laissĂ©s par les Ă©diteurs, et utilisent lâĂ©cosystĂšme Windows contre lui-mĂȘme.
Et la morale de lâhistoire ?
đ Tant que Microsoft laisse passer des drivers vulnĂ©rables signĂ©s, les attaquants auront toujours un raccourci pour Ă©teindre vos dĂ©fenses.
đ Et tant que les entreprises font confiance aveuglĂ©ment aux signatures, le BYOVD restera lâarme prĂ©fĂ©rĂ©e des APT.
Bref : prĂ©parez vos blocklists, parce quâun renard argentĂ© vient dĂ©jĂ de se faufiler dans votre poulailler. đŠ
