签名广告软件工具使用SYSTEM权限禁用杀毒软件

执行摘要

一个伪装成合法软件商店的数字签名广告软件应用程序已被武器化，用于部署脚本，在Windows系统上禁用防病毒和端点保护软件。根据BleepingComputer的一份报告，'PC App Store'工具利用其有效的代码签名证书和SYSTEM级别的权限执行一个批处理文件，该文件终止安全进程并修改Windows Defender设置。该活动影响了数千个端点，遥测显示受害者涉及教育、公用事业、政府和医疗保健部门。

技术分析

攻击的核心是'PC App Store'应用程序，这是一个已知的广告软件工具，带有Sectigo颁发的有效数字证书。Sophos的研究人员首次记录了这一活动，他们报告称安装程序下载并执行了一个名为win.bat的批处理脚本。这个脚本以最高的SYSTEM权限运行，这是从签名的父进程继承的访问级别。批处理文件的主要功能是禁用安全软件。它首先尝试使用taskkill命令终止与一系列防病毒和端点检测和响应（EDR）产品相关的进程。目标软件包括Windows Defender（MsMpEng.exe）、CrowdStrike Falcon、SentinelOne等。在进程终止后，脚本修改Windows注册表键以禁用Windows Defender中的实时监控（DisableRealtimeMonitoring）和篡改保护（TamperProtection）。最终的有效载荷是一个信息窃取器，尽管其具体能力在源报告中没有详细说明。

入侵指标

目前没有识别出任何指标。源报告没有提供与该活动相关的特定文件哈希值、域或IP地址。

战术、技术与程序

此次活动背后的威胁行为者采用多种技术来实现执行和防御规避。最初的访问向量没有明确确认，但可能涉及将'PC App Store'与其他软件捆绑在一起或在欺骗性下载站点上（战术：初始访问，技术：Drive-by Compromise）。滥用合法签名应用程序来启动恶意脚本是一种Trusted Developer Utilities Proxy Execution (T1218)的形式。通过将恶意批处理文件作为签名进程的子进程运行，攻击者绕过了信任签名代码的应用程序控制机制。核心技术是Impair Defenses (T1562)，特别是子技术T1562.001 (Disable or Modify Tools)。批处理脚本直接终止安全软件进程，并通过注册表修改Windows Defender的关键设置，以防止检测和补救。

威胁行为者背景

源材料中没有识别出负责此次活动的具体威胁行为者。该活动被归因于'PC App Store'广告软件的运营商，表明这是一个以财务为动机的团体，而不是国家支持的高级持续性威胁（APT）。使用签名的二进制文件和针对多个部门的广泛受害者基础与广告软件和潜在的信息窃取器分发活动一致。报告没有将此活动与任何已知的威胁团体联系起来。

缓解措施与建议

组织应对签名但非必要的软件进行加强审查。建议安全团队实施应用程序允许列表策略，超越简单的代码签名验证，仅限制执行明确批准的应用程序。监控进程创建事件，其中子进程（如从签名二进制文件生成的cmd.exe）执行可疑命令，例如针对安全可执行文件的taskkill，至关重要。Windows Defender的DisableRealtimeMonitoring和TamperProtection键的注册表更改应被视为高严重性事件。应培训最终用户避免从不官方或未经验证的来源下载软件，因为广告软件捆绑仍然是一个常见的感染向量。