2.zip
(7.08 KB, 下载次数: 11)
2025-5-6 09:51 上传
点击文件名下载附件
事情是这样的,有一个朋友说发现驱动程序没有签名居然也可以加载驱动。当时我非常震惊,我猜想可能是对方电脑中毒了。因为据我了解,驱动程序想要在Windows系统里面加载必须要有数字签名,而且Windows10 11在开启安全启动的电脑里面,必须要微软whql认证才能加载驱动!直到朋友把文件发来了,我震惊了。确实是一个没有任何签名的sys文件,于是我测试了所有主流windows系统居然全部可以加载驱动,非常糟糕,有猫腻!
于是逆向分析了这个sys文件,看见内部藏了一个数字签名,但是windows系统不显示这个签名。这就奇怪了,如果windows不显示数字签名,应该是无效签名啊!既然是无效签名,为什么Windows操作系统可以识别呢?并且可以正常加载。
因为本人逆向水平有限,故请火绒专家完整的逆向出来是怎么回事?还有听说,这个sys隐藏签名,可以在正常的软件里面夹带,可以实现绕过WHQL认证!
我朋友说不要分享样本,但是我们2个人逆向了半天也没搞懂是什么样的技术。
请求专家完整逆向出来,并且公开这个漏洞利用细节,让更多的人知道。如果火绒逆向出来了,请不要私藏起来,应该和更多的安全人士分享这个发现!提高所有人的安全意识,更多的样本可以联系我!
作者: 火绒运营专员 时间: 2025-5-6 10:01
您好,已收到您的信息,这边先分析下,后续有结果回复您,感谢您的支持和反馈~
作者: www. 时间: 2025-5-6 10:19
签名信息
签名验证: ASN1 异常的数据结尾。
签名时间: 22:05 2025/5/4
Signature info
Signature Verification: ASN1 unexpected end of data.
作者: uu2058 时间: 2025-5-6 11:01
这个隐藏签名,一般软件都无法检测的,全部数据异常!非常高明,只能人工逆向了,依靠软件肯定不行!
作者: 纷扰的互联网 时间: 2025-5-6 11:28
本帖最后由 纷扰的互联网 于 2025-5-6 11:30 编辑
uu2058 发表于 2025-5-6 11:01
这个隐藏签名,一般软件都无法检测的,全部数据异常!非常高明,只能人工逆向了,依靠软件肯定不行! ...
其他不说 就是你主题这个要求有点“过分” 了欸
我上报那么多样本 只是答复恶意与否 入库与否 并没有其他(筛选后编辑成安全研究报告内容的除外)
作者: uu2058 时间: 2025-5-7 09:29
https://bbs.kafan.cn/thread-2281270-1-1.html 什么情况,安全公司逆向有一些难度啊,可以让更多的技术加入关注!
这个危害非常大的,未来 对杀毒软件和 游戏安全都有致命威胁
作者: 火绒运营专员 时间: 2025-5-7 09:34
uu2058 发表于 2025-5-7 09:29
https://bbs.kafan.cn/thread-2281270-1-1.html 什么情况,安全公司逆向有一些难度啊,可以让更 ...
您好,已提交给工程师分析~
作者: 火绒运营专员 时间: 2025-5-7 09:35
uu2058 发表于 2025-5-7 09:29
https://bbs.kafan.cn/thread-2281270-1-1.html 什么情况,安全公司逆向有一些难度啊,可以让更 ...
您好,相关样本已转交工程师进行分析,后续有进展会第一时间在本贴同步哈~
作者: 火绒运营专员 时间: 2025-5-7 11:54
您好,未发现恶意行为,暂不做查杀处理~
驱动文件疑似使用了“嵌入式签名”技术
1:驱动文件(.sys) 使用的是嵌入式签名,是 Microsoft 对 PE 驱动文件特别支持的一种签名方式。
2:而文件资源管理器的“文件属性 > 数字签名”标签页只在某些文件类型(如 .exe、.dll)中显示特定类型的签名。
3:.sys 驱动文件的嵌入式签名,不会显示在文件属性窗口中,但它仍然是有效签名,系统可以识别、验证并信任它。
作者: 火绒运营专员 时间: 2025-5-7 11:56
uu2058 发表于 2025-5-7 09:29
https://bbs.kafan.cn/thread-2281270-1-1.html 什么情况,安全公司逆向有一些难度啊,可以让更 ...
您好,请参考9楼的回复哦~
作者: uu2058 时间: 2025-5-7 12:37
本帖最后由 uu2058 于 2025-5-7 12:41 编辑
只能说明 2种情况 1 这个工程师水平有限 只能这样回答 2 或者工程师发现了这个0day漏洞原理了,不愿意公开这个漏洞 方便他以后自己用!私吞漏洞,不愿意公开!
这个样本我同时提交到360公司了,如果他们可以分析出来结果,你们分析不出来,也真的只能说 啪啪打脸了!
360 安恒 奇安信 任子行 深信服 我都会提交样本的,我就不信他们也逆向不出来,到时候真的要对火绒的水平打问号了??
作者: 火绒运营专员 时间: 2025-5-7 12:42
本帖最后由 火绒运营专员 于 2025-5-7 12:44 编辑
uu2058 发表于 2025-5-7 12:37
只能说明 2种情况 1 这个工程师水平有限 只能这样回答 2 或者工程师发现了这个0day漏洞原理了, ...
您好,这个样本疑似使用了“嵌入式签名”技术,该签名不会显示在文件属性窗口中,但它仍然是有效签名,系统可以识别、验证并信任它;您还需要了解哪些信息呢?
作者: 农夫三拳有点疼 时间: 2025-5-7 13:17
纷扰的互联网 发表于 2025-5-6 11:28
其他不说 就是你主题这个要求有点“过分” 了欸
我上报那么多样本 只是答复恶意与否 入库与否 并 ...
对啊,还是公开细节的,如果确实是漏洞的话就更不可能在这里公开利用细节,应该也是先给微软
作者: 农夫三拳有点疼 时间: 2025-5-7 13:19
本帖最后由 农夫三拳有点疼 于 2025-5-7 13:20 编辑
uu2058 发表于 2025-5-7 12:37
只能说明 2种情况 1 这个工程师水平有限 只能这样回答 2 或者工程师发现了这个0day漏洞原理了, ...
并且安全公司是不可能在这里莫名其妙就把一个0Day漏洞的利用细节直接告诉你的,如果确实有漏洞,那也会先发微软,还有的在这里直接说?
作者: 农夫三拳有点疼 时间: 2025-5-7 13:32
火绒运营专员 发表于 2025-5-7 11:54
您好,未发现恶意行为,暂不做查杀处理~
驱动文件疑似使用了“嵌入式签名”技术
1:驱动文件(.sys) 使用 ...
普通的签名方法是sys也会显示的吧,ACE的反WG就是可以看到签名信息
作者: 火绒运营专员 时间: 2025-5-7 13:35
本帖最后由 火绒运营专员 于 2025-5-7 14:16 编辑
农夫三拳有点疼 发表于 2025-5-7 13:32
普通的签名方法是sys也会显示的吧,ACE的反WG就是可以看到签名信息
您好,该问题已进一步反馈提交分析,后续结果会在此贴回复的哦~
作者: 火绒运营专员 时间: 2025-5-7 17:14
本帖最后由 火绒运营专员 于 2025-5-7 19:22 编辑
uu2058 发表于 2025-5-7 09:29
https://bbs.kafan.cn/thread-2281270-1-1.html 什么情况,安全公司逆向有一些难度啊,可以让更 ...
您好,您反馈的情况我们已本地记录,今日升级后会优化规则进行持续监测,若后续发现可疑的相关消息会第一时间加强防护,并整理涉及到漏洞的信息向微软反馈。若您有新发现的信息也欢迎联系我们补充,或直接联系微软提交反馈,感谢您的支持~
作者: 农夫三拳有点疼 时间: 2025-5-8 00:06
火绒运营专员 发表于 2025-5-7 17:14
您好,您反馈的情况我们已本地记录,今日升级后会优化规则进行持续监测,若后续发现可疑的相关消息会第一 ...
作者: 农夫三拳有点疼 时间: 2025-5-8 00:15
摘自卡饭,最后做个总结吧。@火绒运营专员 他们这里说的那个R3(Ring)不显示的问题,主要担忧是火绒在哪个级别验签,如果火绒在R3这种验签就看不到
作者: 火绒运营专员 时间: 2025-5-8 08:37
农夫三拳有点疼 发表于 2025-5-8 00:15
摘自卡饭,最后做个总结吧。@火绒运营专员 他们这里说的那个R3(Ring)不显示的问题,主要担忧是火绒 ...
好的,我们本地确认下哈~
作者: 火绒运营专员 时间: 2025-5-8 09:33
本帖最后由 火绒运营专员 于 2025-5-8 11:24 编辑
农夫三拳有点疼 发表于 2025-5-8 00:15
摘自卡饭,最后做个总结吧。@火绒运营专员 他们这里说的那个R3(Ring)不显示的问题,主要担忧是火绒 ...
您好,火绒相关驱动签名是可以在文件-属性窗口正常显示的,您是想确认火绒在哪个级别下会验证主楼里驱动文件的签名嘛
作者: fly123456 时间: 2025-5-8 11:06
火绒运营专员 发表于 2025-5-8 09:33
您好,火绒相关驱动签名是可以在文件-属性窗口正常显示的哈~
楼上是问火绒在检测到驱动加载的时候怎么验证对象驱动签名,不是问火绒自己的驱动签名能不能显示……
作者: 农夫三拳有点疼 时间: 2025-5-8 12:06
火绒运营专员 发表于 2025-5-8 09:33
您好,火绒相关驱动签名是可以在文件-属性窗口正常显示的,您是想确认火绒在哪个级别下会验证主楼里驱动文 ...
前一句话,好像我问的不是这个。。。后一句话,是的
作者: 火绒运营专员 时间: 2025-5-8 14:05
农夫三拳有点疼 发表于 2025-5-8 12:06
前一句话,好像我问的不是这个。。。后一句话,是的
你好~我们的查杀不会依赖签名去防护,当前我们分析了主楼文件是不存在恶意行为的,后续也会持续关注相关样本。
作者: sysdiag.sys 时间: 2025-5-9 20:35
提示: 作者被禁止或删除 内容自动屏蔽
作者: jibu 时间: 2025-6-2 18:28
本帖最后由 jibu 于 2025-6-2 18:30 编辑
uu2058 发表于 2025-5-7 12:37
只能说明 2种情况 1 这个工程师水平有限 只能这样回答 2 或者工程师发现了这个0day漏洞原理了, ...
sys好像没有文件属性内显示,对火绒信任,如果不信任可以不反馈
作者: 重庆客运段 时间: 2025-6-3 17:01
jibu 发表于 2025-6-2 18:28
sys好像没有文件属性内显示,对火绒信任,如果不信任可以不反馈
但是SignTool验证失败欸。别的隐藏不显示的能验证成功。
| 欢迎光临 火绒安全软件 (https://bbs.huorong.cn/) | Powered by Discuz! X3.4 |