01 事件概述
近期，与朝鲜有关的Lazarus APT组织利用内核漏洞进行攻击，目标是appid.sys中的AppLocker驱动程序。这个零日漏洞被标记为CVE-2024-21338。 Microsoft在2月补丁日更新中已经解决了这个零日漏洞，并提供了相应的修复措施。

02 漏洞成因以及攻击事件分析
Lazarus组织利用Windows AppLocker驱动程序(appid.sys)中的一个缺陷作为零日漏洞来获取内核级访问权限并关闭安全工具，允许他们绕过杂乱的 BYOVD（自带易受攻击的驱动程序）技术。

Lazarus通过操纵appid.sys驱动程序中的输入和输出控制 (IOCTL) 调度程序来调用任意指针，利用它欺骗内核执行不安全代码，从而绕过安全检查进行下一步的攻击机制。

此外，rootkit同样内置在与漏洞利用相同的模块中，可以直接执行内核对象 (DKOM)进行相关操作。例如关闭安全产品、隐藏恶意活动，并在被破坏的系统上保持持久性。这种新型漏洞利用策略(BYOVD)标志着攻击者突破内核访问权限的重大升级，使他们能够发起更隐蔽的攻击并在受感染的系统上持续更长时间。Rootkit模块主要功能函数如下图：

03 漏洞检测方法

经过对微软补丁前后文件的观察，我们可以确定修复此漏洞的方法是添加 ExGetPreviousMode函数，以防止在用户模式启动的IOCTL触发任意回调。因此，我们提出以下检测方案：

提取风险代码块的二进制特征码 检测文件appid.sys文件中是否存在该特征码，若存在，则表明系统存在风险。

（ 补丁前后对比图 ）

04 赤豹反病毒实验室给出的对抗防御措施

若修复此漏洞，可以通过下方地址下载，在其Security Updates项当中，选择与自己机器相同的系统版本号，还需要对应机器的指令架构和系统位数。例如查看机器版本号为21H2、windows10 (需区分arm架构)、64位，那么下载Windows10 Version 21H2 for x64-based Systems,build number为10.0.19044.4046。下载完成之后，运行并一键修复后等待重启即可。

下载地址:
71aK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6E0M7%4u0U0i4K6u0W2L8h3W2U0M7X3!0K6L8$3k6@1i4K6u0W2j5$3!0E0i4K6u0r3N6i4m8V1j5i4c8W2i4K6u0V1k6%4g2A6k6r3g2Q4x3V1k6W2L8W2)9J5k6q4g2e0i4K6u0r3j5h3c8$3K9i4y4G2M7Y4W2Q4x3V1k6o6g2V1g2Q4x3X3b7J5x3o6t1@1i4K6u0V1x3U0p5K6x3K6R3`.

➡ 1、安装江民反病毒产品并将病毒库升级为最新版本，并定期进行全盘扫描。
➡ 2、在使用移动介质前，应对移动介质内文件进行扫描确认不携带病毒文件。
➡ 3、不打开陌生电子邮件，防止鱼叉式钓鱼式攻击。
➡ 4、及时更新操作系统及应用软件补丁，防止漏洞利用攻击。
➡ 5、为本机管理员账号设置较为复杂的密码，预防病毒通过密码猜测进行传播，最好是数字与字母组合的密码。
➡ 6、不要从不可靠的渠道下载软件，因为这些软件很可能是带有病毒的。
➡ 7、定期进行目标机器的异常检查，包括是否出现新增账户、Guest是否被启用、系统日志是否存在异常、杀毒软件是否存在异常拦截等。

江民赤豹反病毒实验室专注反病毒技术研究，拥有自主研发文件威胁检测引擎、AI威胁检测引擎、流迭代威胁检测引擎等多款反病毒引擎产品，形成了全平台的恶意代码防御体系，并针对日新月异的网络安全环境，提供安全事件应急响应、恶意代码分析处置等多种安全服务。赤豹反病毒实验室致力于提供了全面、系统、一体化的网络安全防护，为客户提供强大技术支撑。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课