微软用户面临RedDriver攻击

关键要点

中华语用户的Microsoft系统遭遇RedDriver工具的攻击。RedDriver工具自2021年以来被用于拦截浏览器流量。攻击以恶意的DNFClient文件开始，该文件与在中国广泛玩的《地下城与勇士》游戏相关。RedDriver使用盗取的证书伪造签名时间戳，逃避Windows驱动签名强制政策。攻击者利用恶意驱动程序带来的多项优势，包括规避终端检测与持续控制感染系统。

根据The Record，一个由网络安全公司Recorded Future创办的新闻网站，使用中文的微软用户正遭受涉及RedDriver工具的攻击。RedDriver自2021年以来被认为是攻击者的武器，其攻击以一个恶意的DNFClient文件开端，DNFClient与在中国广泛玩的《地下城与勇士》游戏有关。随后，这个文件下载RedDriver工具，报告指出这一过程的细节。

RedDriver通过盗取的证书伪造签名时间戳，从而成功逃避Windows的驱动签名强制政策。这使得它可以利用Windows过滤平台来妥协浏览器的网络流量。同时，另一份报告也注意到，利用Windows漏洞来建立恶意驱动程序的合法性正日益增长，这一点在RedDriver的攻击中得到了验证。研究人员指出：“从攻击者的视角来看，利用恶意驱动程序的优势包括但不限于规避终端检测、能够操控系统和用户模式进程，以及在感染系统上持久保存。”

一元机场·com