火绒安全软件

安全技术探讨
发新帖
打印 上一主题 下一主题

[威胁情报] Windows驱动签名被攻破了?发现无签名驱动软件携带隐藏签名

[复制链接]
3876 27
楼主
发表于 2025-5-6 09:52:03 | 只看该作者 |只看大图 |倒序浏览 |阅读模式
跳转到指定楼层
         2.zip (7.08 KB, 下载次数: 11)
        事情是这样的,有一个朋友说发现驱动程序没有签名居然也可以加载驱动。当时我非常震惊,我猜想可能是对方电脑中毒了。因为据我了解,驱动程序想要在Windows系统里面加载必须要有数字签名,而且Windows10 11在开启安全启动的电脑里面,必须要微软whql认证才能加载驱动!直到朋友把文件发来了,我震惊了。确实是一个没有任何签名的sys文件,于是我测试了所有主流windows系统居然全部可以加载驱动,非常糟糕,有猫腻!
       于是逆向分析了这个sys文件,看见内部藏了一个数字签名,但是windows系统不显示这个签名。这就奇怪了,如果windows不显示数字签名,应该是无效签名啊!既然是无效签名,为什么Windows操作系统可以识别呢?并且可以正常加载。
      因为本人逆向水平有限,故请火绒专家完整的逆向出来是怎么回事?还有听说,这个sys隐藏签名,可以在正常的软件里面夹带,可以实现绕过WHQL认证!
我朋友说不要分享样本,但是我们2个人逆向了半天也没搞懂是什么样的技术。
     请求专家完整逆向出来,并且公开这个漏洞利用细节,让更多的人知道。如果火绒逆向出来了,请不要私藏起来,应该和更多的安全人士分享这个发现!提高所有人的安全意识,更多的样本可以联系我!


评分

参与人数 1金钱 +1 收起 理由
jibu + 1 其实吧,对火绒不信任我也是没啥说的.

查看全部评分

回复

使用道具 举报

3876 27
沙发
发表于 2025-5-6 10:01:17 | 只看该作者
您好,已收到您的信息,这边先分析下,后续有结果回复您,感谢您的支持和反馈~
回复

使用道具 举报

3876 27
板凳
发表于 2025-5-6 10:19:34 | 只看该作者
签名信息
签名验证: ASN1 异常的数据结尾。
签名时间: 22:05 2025/5/4

Signature info
Signature Verification: ASN1 unexpected end of data.
回复

使用道具 举报

3876 27
地板
发表于 2025-5-6 11:01:41 | 只看该作者
这个隐藏签名,一般软件都无法检测的,全部数据异常!非常高明,只能人工逆向了,依靠软件肯定不行!
回复

使用道具 举报

3876 27
5#
发表于 2025-5-6 11:28:48 来自手机 | 只看该作者
本帖最后由 纷扰的互联网 于 2025-5-6 11:30 编辑
uu2058 发表于 2025-5-6 11:01
这个隐藏签名,一般软件都无法检测的,全部数据异常!非常高明,只能人工逆向了,依靠软件肯定不行! ...

其他不说 就是你主题这个要求有点“过分” 了欸
我上报那么多样本 只是答复恶意与否 入库与否 并没有其他(筛选后编辑成安全研究报告内容的除外)
回复

使用道具 举报

3876 27
6#
发表于 2025-5-7 09:29:21 | 只看该作者
https://bbs.kafan.cn/thread-2281270-1-1.html           什么情况,安全公司逆向有一些难度啊,可以让更多的技术加入关注!
这个危害非常大的,未来 对杀毒软件和  游戏安全都有致命威胁
回复

使用道具 举报

3876 27
7#
发表于 2025-5-7 09:34:28 | 只看该作者
uu2058 发表于 2025-5-7 09:29
https://bbs.kafan.cn/thread-2281270-1-1.html           什么情况,安全公司逆向有一些难度啊,可以让更 ...

您好,已提交给工程师分析~
回复

使用道具 举报

3876 27
8#
发表于 2025-5-7 09:35:41 | 只看该作者
uu2058 发表于 2025-5-7 09:29
https://bbs.kafan.cn/thread-2281270-1-1.html           什么情况,安全公司逆向有一些难度啊,可以让更 ...

您好,相关样本已转交工程师进行分析,后续有进展会第一时间在本贴同步哈~
回复

使用道具 举报

3876 27
9#
发表于 2025-5-7 11:54:41 | 只看该作者
您好,未发现恶意行为,暂不做查杀处理~
驱动文件疑似使用了“嵌入式签名”技术
1:驱动文件(.sys) 使用的是嵌入式签名,是 Microsoft 对 PE 驱动文件特别支持的一种签名方式。
2:而文件资源管理器的“文件属性 > 数字签名”标签页只在某些文件类型(如 .exe、.dll)中显示特定类型的签名。
3:.sys 驱动文件的嵌入式签名,不会显示在文件属性窗口中,但它仍然是有效签名,系统可以识别、验证并信任它。
回复

使用道具 举报

3876 27
10#
发表于 2025-5-7 11:56:11 | 只看该作者
uu2058 发表于 2025-5-7 09:29
https://bbs.kafan.cn/thread-2281270-1-1.html           什么情况,安全公司逆向有一些难度啊,可以让更 ...

您好,请参考9楼的回复哦~
回复

使用道具 举报

3876 27
11#
发表于 2025-5-7 12:37:36 | 只看该作者
本帖最后由 uu2058 于 2025-5-7 12:41 编辑

只能说明 2种情况    1  这个工程师水平有限 只能这样回答       2 或者工程师发现了这个0day漏洞原理了,不愿意公开这个漏洞 方便他以后自己用!私吞漏洞,不愿意公开!
这个样本我同时提交到360公司了,如果他们可以分析出来结果,你们分析不出来,也真的只能说 啪啪打脸了!
360  安恒 奇安信  任子行  深信服 我都会提交样本的,我就不信他们也逆向不出来,到时候真的要对火绒的水平打问号了??
回复

使用道具 举报

3876 27
12#
发表于 2025-5-7 12:42:13 | 只看该作者
本帖最后由 火绒运营专员 于 2025-5-7 12:44 编辑
uu2058 发表于 2025-5-7 12:37
只能说明 2种情况    1  这个工程师水平有限 只能这样回答       2 或者工程师发现了这个0day漏洞原理了, ...

您好,这个样本疑似使用了“嵌入式签名”技术,该签名不会显示在文件属性窗口中,但它仍然是有效签名,系统可以识别、验证并信任它;您还需要了解哪些信息呢?
回复

使用道具 举报

3876 27
13#
发表于 2025-5-7 13:17:02 | 只看该作者
纷扰的互联网 发表于 2025-5-6 11:28
其他不说 就是你主题这个要求有点“过分” 了欸
我上报那么多样本 只是答复恶意与否 入库与否 并 ...

对啊,还是公开细节的,如果确实是漏洞的话就更不可能在这里公开利用细节,应该也是先给微软
回复

使用道具 举报

3876 27
14#
发表于 2025-5-7 13:19:28 | 只看该作者
本帖最后由 农夫三拳有点疼 于 2025-5-7 13:20 编辑
uu2058 发表于 2025-5-7 12:37
只能说明 2种情况    1  这个工程师水平有限 只能这样回答       2 或者工程师发现了这个0day漏洞原理了, ...


(摘自卡饭)

并且安全公司是不可能在这里莫名其妙就把一个0Day漏洞的利用细节直接告诉你的,如果确实有漏洞,那也会先发微软,还有的在这里直接说?

回复

使用道具 举报

3876 27
15#
发表于 2025-5-7 13:32:17 | 只看该作者
火绒运营专员 发表于 2025-5-7 11:54
您好,未发现恶意行为,暂不做查杀处理~
驱动文件疑似使用了“嵌入式签名”技术
1:驱动文件(.sys) 使用 ...

普通的签名方法是sys也会显示的吧,ACE的反WG就是可以看到签名信息
回复

使用道具 举报

您需要登录后才可以回帖 登录 | [立即注册]

本版积分规则

快速回复 返回顶部 返回列表