Cisco Talos 與趨勢科技指出,與
Qilin、
Warlock 相關的攻擊行動近期大量採用「自帶弱點驅動程式」(BYOVD)手法:先在受害主機上取得核心層級能力,再關閉與干擾防護軟體。
Talos 分析 Qilin 的攻擊鏈時發現,
攻擊者會投放惡意 DLL「msimg32.dll」,並透過 DLL 側載啟動多階段流程,目標是停用端點偵測與回應(EDR)。研究人員指出,該元件可終止超過 300 個與 EDR 相關的驅動程式,涵蓋多數主流資安產品。
Talos 進一步說明,第一階段為 PE 載入器,負責準備執行環境並解密內嵌的次階段負載。為降低被偵測的機率,載入器會移除使用者模式掛鉤,並抑制 Windows 事件追蹤記錄;同時透過混淆控制流程與 API 呼叫模式,讓主要「EDR killer」在記憶體中完成解密並執行。
在核心層級的操作上,惡意程式會載入兩個驅動程式。其一為 rwdrv.sys(由 ThrottleStop.sys 改名),用於存取實體記憶體並提供硬體存取能力;其二為 hlpdrv.sys,主要用來終止大量與 EDR 驅動程式相關的程序。研究也指出,這類驅動程式過去曾在 Akira、Makop 等勒索軟體入侵中遭到濫用,顯示 BYOVD 供應鏈與工具正被不同集團反覆套用。
為避免 EDR 透過回呼機制攔截終止行為,攻擊程式會在載入第二個驅動程式前,先解除註冊由 EDR 建立的監控回呼,讓後續關閉流程能在較少干擾下進行。
根據 CYFIRMA 與 Cynet 統計,Qilin 近期成為更活躍的勒索軟體集團之一,並在日本 2025 年通報的勒索事件中占有一定比例。Talos 也指出,Qilin 常以竊得憑證作為初始入侵方式。入侵後,攻擊者會花時間進行橫向移動與擴權,平均約六天後才執行勒索,凸顯早期偵測的重要性。
另一方面,Warlock(又稱 Water Manaul)仍持續鎖定未修補的 Microsoft SharePoint 伺服器,並更新其工具鏈,以強化持久性、橫向移動與規避偵測能力。趨勢科技指出,Warlock 近期使用 TightVNC 維持遠端控制,並以具弱點的 NSec 驅動程式(NSecKrnl.sys)執行 BYOVD,在核心層級終止防護產品,取代過往使用的 googleApiUtil64.sys。
趨勢科技同時觀察到,Warlock 行動也會搭配多種工具進行滲透與控制,例如 PsExec、RDP Patcher、Velociraptor、以及 Visual Studio Code 與 Cloudflare Tunnel 等。
防護建議
- 僅允許來自明確可信發行者的已簽章驅動程式,並建立驅動程式治理機制。
- 監控驅動程式安裝與載入事件,並強化核心完整性相關告警。
- 落實修補管理,定期更新包含驅動元件的安全軟體與系統,以降低被 BYOVD 利用的風險。
本文轉載自 TheHackerNews。