安全研究人员发现Valkyrie-bot僵尸网络正在部署一款利用设备过滤器驱动的Windows内核Rootkit。该恶意驱动已通过微软WHQL(Windows硬件质量实验室)数字签名认证,成功绕过Windows驱动签名强制执行机制(Driver Signature Enforcement)。攻击者利用该驱动在内核模式与用户态之间建立隐蔽的内存访问通道,实现系统级持久化控制,同时规避安全软件检测。WHQL签名的滥用使该恶意驱动在外观上与合法驱动无异,大大增加了检测难度。建议管理员审查可疑驱动加载行为,及时更新安全防护软件。🔗 原文链接:https://x.com/nextronresearch/status/2075114506783494533
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END







