СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
Вчера в 21:25
#ИБ

Подписанный драйвер wskmon.sys скрывает бэкдор в ядре Windows

wskmon.sys: новый kernel-mode backdoor, использующий WFP, HMAC-SHA256 и signed driver chain для скрытого remote access

Исследователи описали wskmon.sys как сложный 64-bit Windows kernel-mode driver, который функционирует как backdoor для remote access и появился 15 июня 2026 года. В отличие от традиционных rootkit, эта malware-архитектура не требует IOCTL interface или user-mode agent: она опирается на один .sys-файл и полностью выполняет свои операции на уровне kernel.

Архитектура и принцип работы

Ключевая особенность wskmon.sys — интеграция с Windows Filtering Platform (WFP). Драйвер регистрирует streaming callout, чтобы перехватывать входящий TCP traffic и извлекать команды из HTTP POST requests. Для идентификации полезной нагрузки используется последовательность magic bytes 7F 4E 54 46, после чего payload проходит расшифровку и проверку целостности.

Защита команд построена на HMAC-SHA256: каждая команда сопровождается 32-byte HMAC tag, вычисляемым с использованием hardcoded 256-bit secret key, встроенного в драйвер. Такой механизм позволяет одновременно подтверждать подлинность данных и исключать несанкционированное выполнение команд.

«Коммуникация защищена encrypted commands, аутентифицированными с помощью HMAC-SHA256, что обеспечивает выполнение полностью на уровне ядра».

Исполнение команд и скрытность

После получения и расшифровки команды драйвер выполняет действия от имени NT AUTHORITY SYSTEM на целевой системе. Для этого он ищет запущенный экземпляр svchost.exe и внедряет команду непосредственно в его address space, создавая Threads (социальная сеть, принадлежащая запрещённой в России и признанной экстремистской американской корпорации Meta) без отображения окон на рабочем столе пользователя. Такой подход связан с isolation Session 0, что делает активность менее заметной для обычного наблюдения.

Отдельно отмечается, что типичные network applications могут использоваться как transport channels. В таком сценарии команды передаются незаметно до момента, пока WFP не перехватит и не обработает traffic. В результате создаваемые процессы визуально и поведенчески «привязываются» к svchost.exe, что затрудняет forensic analysis и отслеживание общей user activity.

Подпись драйвера и фактор доверия

Примечательно, что Authenticode certificate связывает wskmon.sys с компанией Shenzhen Aolian Information Security Technology Co., Ltd.. Это придаёт драйверу внешнюю легитимность в рамках ecosystem driver signing Microsoft и демонстрирует, как signed driver может использоваться для сокрытия вредоносной функциональности.

Именно этот аспект вызывает особую тревогу: malware инкапсулирует полноценный remote access framework в подписанный driver, обходя распространённые методы detection в user mode и усиливая риски, связанные с доверием к kernel components.

Признаки обнаружения

Аналитики выделяют несколько направлений, которые могут помочь в выявлении подобной активности:

  • мониторинг нерегулярных WFP callout registrations;
  • анализ необычных patterns загрузки драйверов, особенно signed drivers с низким распространением;
  • поиск network traffic с признаками протокола NTF, включая magic sequence 7F 4E 54 46;
  • выявление аномалий в поведении svchost.exe, включая неожиданные child processes;
  • обнаружение запуска cmd.exe и других команд в Session 0.

Такие индикаторы не являются исчерпывающими, однако в совокупности они могут указывать на наличие backdoor и компрометацию kernel-level инфраструктуры.

Почему это важно

Архитектура wskmon.sys подчёркивает серьёзные последствия для security posture организаций. Если вредоносная логика реализована на уровне kernel и упакована в signed driver, традиционные средства защиты, ориентированные на user-mode, могут не увидеть значительную часть атаки.

Таким образом, кейс wskmon.sys усиливает необходимость:

  • более строгой проверки kernel drivers;
  • улучшения detection mechanisms для kernel-mode threats;
  • непрерывного monitoring сетевой и process activity на уровне ядра;
  • повышенного контроля над доверенной цепочкой подписи драйверов.

В совокупности это ВПО демонстрирует, как современные злоумышленники используют trust model ядра Windows для создания скрытного и устойчивого remote access tool, способного работать вне зоны видимости стандартных защитных механизмов.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: