恶意驱动Netfilter rootkit变本加厉，360安全卫士定向防御近日

【恶意驱动Netfilter rootkit变本加厉，360安全卫士定向防御】近日， 360安全大脑监测发现，在6月中旬被爆出拥有WHQL签名的恶意驱动“Netfilterrootkit” ， WHQL签名是指硬件的驱动程序通过了微软认证之后，微软会给驱动程加上一个“MicrosoftWindowsHardwareCompatibilityPublisher”的数字签名。 Netfilterrootkit如今已更新至第二代并继续持有微软签名。而且升级后的Netfilterrootkit隐蔽性大增，以至于在线杀毒网站virustotal上至今仍无任何杀软报出。
鉴于Netfilterrootkit第二代在功能与名称与之前版本均有所区别， 360安全团队将其命名为“NetRedirectrootkit” 。尽管NetRedirectrootkit有着极强的隐蔽性和危害性，但360安全卫士依然能够实现定向防御和彻底查杀，从根本上解决用户的安全难题。

文章图片
事实上，早在6月25日，微软安全响应中心便表示已经暂停Netfilterrootkit的账户，并审查其签发的其他文件， “根据我们的零信任和分层防御安全态势，我们通过MicrosoftDefenderforEndpoint内置检测和阻止此驱动程序和相关文件。 ”然而，与其高度同源、行为相似的二代产品——NetRedirectrootkit ，至今依然拥有微软签名，使其隐蔽性和查杀难度大幅提高。
除此之外， NetRedirectrootkit的危害性也有了明显提升。鉴于NetRedirectrootkit云控下发rootkit的方式，当前该恶意厂商完全有能力不仅限于IP劫持功能，而能够在中毒机器上，实现任意恶意行为rootkit的执行。

文章图片
而且，区别于上一代Netfilterrootkit校验自身文件md5实现文件自更新， NetRedirectrootkit采取了伪装驱动与恶意驱动分离的形式，真正的恶意驱动以云控的方式存放在木马C&C服务器上，而本地伪装为WFP网络过滤功能的驱动，则负责向服务器请求恶意文件数据，以内存加载的的隐蔽方式，调用rootkit入口地址。在此基础上，未来NetRedirectrootkit的行为将变得越来越难以预测。
总而言之，前不久Windows11所宣传的TPM和SecureBoot安全功效，对于拥有WHQL签名，能够在SecureBoot机器上加载的NetRedirectrootkit来说，并不能达到防护效果。

文章图片
不过广大用户无需担心，在360安全卫士准确、实时和智能的保护下，此类rootkit无法绕过360安全卫士基于行为的检测， 360安全大脑赋能的新一代防御技术可以做到防患于未然，亦可对中毒机器进行彻底查杀。