SprySOCKS na Windows ukrywa aktywność dzięki sterownikom jądra

Wprowadzenie do problemu / definicja

Nowo opisany wariant tylnej furtki SprySOCKS dla systemu Windows pokazuje, jak współczesne grupy APT rozwijają narzędzia wieloplatformowe i łączą klasyczne techniki malware z mechanizmami działającymi w jądrze systemu. W tym przypadku kluczową rolę odgrywają złośliwe sterowniki kernel-mode, których zadaniem jest ukrywanie procesów, plików i innych artefaktów aktywności backdoora przed narzędziami bezpieczeństwa oraz administratorami.

To istotny sygnał dla obrońców, ponieważ malware operujące na poziomie jądra może ograniczać widoczność telemetrii, utrudniać analizę incydentu i wydłużać czas obecności napastnika w środowisku ofiary.

W skrócie

Badacze ujawnili wcześniej nieudokumentowany wariant SprySOCKS dla Windows, przypisywany grupie FishMonger, łączonej z chińskim ekosystemem działań cyberwywiadowczych. Kampania miała obejmować przede wszystkim instytucje rządowe w Hondurasie, na Tajwanie, w Tajlandii i Pakistanie.

• Wariant oznaczany jako WIN_DRV wykorzystuje dwa zaszyfrowane sterowniki jądra.
• Pierwszy komponent odpowiada za załadowanie drugiego sterownika bezpośrednio do pamięci.
• Drugi sterownik służy do ukrywania aktywności malware w systemie Windows.
• Analiza wskazuje także na możliwe wykorzystanie przestarzałych, podatnych lub błędnie skonfigurowanych środowisk.
• Pojawiły się również ograniczone przesłanki sugerujące możliwy związek z komponentem typu UEFI bootkit.

Kontekst / historia

SprySOCKS był wcześniej znany głównie jako backdoor dla Linuksa i pojawiał się w analizach aktywności z 2023 roku. Najnowsze ustalenia pokazują jednak, że operatorzy rozszerzyli swój zestaw narzędzi o pełnoprawny wariant dla Windows, co znacząco zwiększa potencjalną powierzchnię ataku.

Z perspektywy zespołów bezpieczeństwa oznacza to przejście od pojedynczego, wyspecjalizowanego narzędzia do bardziej elastycznej platformy operacyjnej. Takie podejście pozwala grupom APT przenosić podobne techniki między różnymi systemami i dostosowywać działanie malware do środowiska konkretnej ofiary.

Według dostępnych ustaleń próbki wariantu windowsowego wykryto stosunkowo niedawno, jednak dane telemetryczne sugerują, że narzędzie było wykorzystywane w realnych operacjach już w latach 2023–2024. To oznacza, że przez dłuższy czas mogło pozostawać poza publiczną świadomością i poza zasięgiem standardowych mechanizmów detekcji.

Analiza techniczna

Najbardziej interesującym elementem kampanii jest użycie dwóch sterowników działających w jądrze systemu. Pierwszy z nich, określany jako DriverLoader i identyfikowany nazwą pliku fsdiskbit.sys, jest dostarczany przez loader SprySOCKS. Jego zadaniem jest wczytanie drugiego sterownika bezpośrednio do pamięci systemu ofiary.

Drugim komponentem jest RawWNPF, czyli sterownik odpowiedzialny za ukrywanie aktywności złośliwego oprogramowania. Moduł ten można konfigurować za pomocą własnych kodów IOCTL, co daje operatorowi możliwość precyzyjnego sterowania jego zachowaniem na poziomie jądra Windows.

Z technicznego punktu widzenia oznacza to dostęp do uprzywilejowanej warstwy systemu, gdzie możliwe staje się przechwytywanie wywołań systemowych oraz manipulowanie wynikami zwracanymi aplikacjom i rozwiązaniom ochronnym. Opisywane działanie obejmuje między innymi hookowanie wywołania NtQuerySystemInformation, co pozwala usuwać wybrane procesy z wyników zwracanych przez system.

W praktyce aktywne komponenty backdoora mogą pozostać niewidoczne dla standardowych mechanizmów enumeracji procesów. Analogiczne podejście może zostać zastosowane również do ukrywania plików i innych śladów obecności malware, co znacząco utrudnia wykrycie incydentu oraz późniejszą analizę powłamaniową.

Ważny jest także aspekt podpisu cyfrowego sterownika. Badacze wskazali, że jeden z komponentów był podpisany certyfikatem ujawnionym wcześniej w projekcie PastDSE. Taki scenariusz sugeruje wykorzystanie słabości w politykach ładowania sterowników, szczególnie w środowiskach przestarzałych, źle skonfigurowanych lub niewystarczająco utwardzonych.

Istotne jest również rozróżnienie między nadużyciem legalnego, podatnego sterownika a użyciem sterownika jednoznacznie złośliwego. W tym przypadku mowa o komponencie, który powinien być blokowany i wykrywany bez ryzyka zakłócenia pracy prawidłowych elementów systemu operacyjnego.

Wektor początkowego dostępu nie został jednoznacznie potwierdzony. Analitycy zwracają jednak uwagę, że FishMonger wcześniej wykorzystywał znane podatności typu N-day w publicznie dostępnych serwerach i aplikacjach. Obecność systemów serwerowych po stronie ofiar wzmacnia hipotezę, że wejście do środowiska mogło nastąpić przez niezałatane lub błędnie skonfigurowane usługi wystawione do Internetu.

Dodatkowo pojawiły się ograniczone przesłanki wskazujące na możliwe użycie komponentu UEFI bootkit, potencjalnie w kontekście CVE-2023-24932. Choć nie jest to element jednoznacznie potwierdzony, sam kierunek analizy pokazuje, jak głęboko operatorzy mogli próbować osadzić się w infrastrukturze ofiar.

Konsekwencje / ryzyko

Ryzyko związane z tym wariantem należy ocenić jako wysokie, ponieważ łączy on trwałość, ukrywanie aktywności i działanie w najbardziej uprzywilejowanej warstwie systemu. Malware wspierane przez sterowniki jądra może skutecznie omijać część rozwiązań EDR, zaburzać widoczność telemetrii i znacząco utrudniać dochodzenie powłamaniowe.

Dla organizacji oznacza to większe prawdopodobieństwo długotrwałej obecności napastnika w sieci, cichszego ruchu bocznego oraz trudniejszego potwierdzenia skali naruszenia. Szczególnie narażone pozostają instytucje publiczne, środowiska administracyjne oraz podmioty utrzymujące systemy Windows w konfiguracjach odbiegających od aktualnych standardów hardeningu.

Zagrożenie nie ogranicza się jednak wyłącznie do sektora rządowego. Mechanizmy wykorzystane w kampanii mogą zostać zaadaptowane również do operacji przeciw przedsiębiorstwom, operatorom infrastruktury krytycznej oraz organizacjom działającym w środowiskach hybrydowych z usługami wystawionymi do Internetu.

Rekomendacje

Organizacje powinny potraktować ten przypadek jako wyraźny sygnał do wzmocnienia kontroli nad ładowaniem sterowników i integralnością kodu w systemach Windows. Priorytetem powinno być włączenie HVCI, czyli hypervisor-protected code integrity, wszędzie tam, gdzie jest to możliwe operacyjnie.

Mechanizm ten istotnie utrudnia uruchamianie złośliwych sterowników i podnosi koszt skutecznego ataku. Równolegle warto wdrożyć lub zaostrzyć polityki bezpieczeństwa dotyczące monitorowania komponentów kernel-mode oraz ochrony łańcucha rozruchowego.

• Monitorowanie ładowania sterowników kernel-mode i alertowanie o nietypowych modułach.
• Wykrywanie niestandardowych operacji IOCTL oraz anomalii związanych z pracą sterowników.
• Korelacja zdarzeń wskazujących na ukrywanie procesów, plików i rozbieżności w telemetrii EDR.
• Blokowanie nieautoryzowanych lub podejrzanych certyfikatów używanych do podpisywania sterowników.
• Szybkie łatanie publicznie dostępnych aplikacji, serwerów i usług.
• Audyt konfiguracji Secure Boot oraz zabezpieczeń związanych z integralnością rozruchu.
• Uwzględnienie opublikowanych wskaźników kompromitacji w systemach SIEM, EDR i NDR.

Zespoły SOC i threat hunting powinny zwracać uwagę na różnice między danymi z warstwy użytkownika a obserwacjami niskopoziomowymi. Jeżeli lista procesów raportowana przez narzędzia systemowe nie zgadza się z innymi źródłami telemetrii, może to być sygnał świadczący o manipulacji na poziomie jądra.

Podsumowanie

Windowsowy wariant SprySOCKS pokazuje, że współczesne kampanie APT coraz częściej opierają się na modularnych, wieloplatformowych narzędziach wzbogaconych o komponenty działające w jądrze systemu. Wykorzystanie sterowników do ukrywania procesów i plików znacząco podnosi trudność detekcji oraz skraca czas reakcji dostępny obrońcom.

Dla organizacji najważniejsze wnioski są trzy: utrzymywanie aktualnych systemów, egzekwowanie silnych polityk integralności kodu oraz aktywne monitorowanie zdarzeń związanych z malware kernel-mode. To właśnie te obszary mogą zdecydować o tym, czy zaawansowana kampania zostanie wykryta odpowiednio wcześnie.

Źródła

1. Dark Reading — https://www.darkreading.com/threat-intelligence/sprysocks-windows-variant-kernel-drivers
2. ESET Research — https://www.welivesecurity.com/en/eset-research/sprysocks-fishmonger-apt-group/
3. PastDSE Project — https://www.github.com/hfiref0x/PastDSE
4. Microsoft Learn — https://www.learn.microsoft.com/windows-hardware/design/device-experiences/oem-hvci-enablement
5. Microsoft Security Response Center — https://www.msrc.microsoft.com/update-guide/vulnerability/CVE-2023-24932