Operation PhantomCLR 劫持 Intel 驱动部署隐蔽恶意软件

执行摘要

安全研究人员识别了一个复杂的攻击活动，被称为Operation PhantomCLR，它利用一个合法的、经过数字签名的Intel驱动程序劫持.NET公共语言运行时（CLR）并部署恶意软件。这种技术，被称为AppDomain Manager劫持，允许攻击者从内存中执行恶意负载，而无需修改原始受信任的二进制文件，有效地绕过了许多依赖于签名验证和文件完整性检查的安全控制。

技术分析

攻击的核心是利用一个合法的Intel驱动程序工具IntelBTH.exe，该工具由Intel Corporation签名。根据研究人员的说法，攻击者没有修改这个二进制文件。相反，他们操纵.NET运行时环境以加载一个恶意程序集。该技术的核心是劫持AppDomain Manager，这是.NET CLR中的一个组件，负责初始化应用程序域。通过设置一个特定的注册表键（COR_ENABLE_PROFILING和COR_PROFILER）或环境变量，攻击者可以迫使一个.NET应用程序——或者在这种情况下，一个加载CLR的受信任的实用程序——在启动时加载一个指定的恶意DLL。

在Operation PhantomCLR中，攻击者配置系统，以便当签名的Intel实用程序执行时，CLR加载一个恶意的分析器DLL。这个DLL在受信任进程的内存空间内运行，然后部署最终的恶意软件负载。整个链从内存中执行，初始加载器不会在磁盘上留下任何恶意工件，这极大地复杂化了传统防病毒和端点检测与响应（EDR）解决方案的检测。

入侵指标

源材料中未识别出任何入侵指标。

战术、技术与程序

观察到的主要技术是AppDomain Manager Hijacking (T1574.012)，这是劫持执行流的一个子技术。这属于更广泛的MITRE ATT&CK战术防御绕过。该操作展示了一种利用土地生活（LotL）的方法，通过滥用一个受信任的、签名的供应商二进制文件（IntelBTH.exe）。攻击流程涉及通过注册表修改建立持久性，以设置CLR分析环境变量，使恶意DLL能够在每次实用程序运行时被加载。执行完全在内存中进行，与**内存执行（T1055）**技术一致，以避免基于磁盘的检测。

威胁行为者背景

该活动被追踪为Operation PhantomCLR。源材料没有将此活动归因于已知的高级持续性威胁（APT）组织或以财务为动机的行为者。高度的技术复杂性，专注于隐蔽性和滥用受信任的组件，表明这是一个有能力的威胁行为者的工作，但具体的起源、动机和目标从提供的信息中仍然不清楚。

缓解措施与建议

组织应监控与.NET CLR相关的可疑注册表修改，特别是HKLM\SOFTWARE\Microsoft\.NETFramework或HKCU\SOFTWARE\Microsoft\.NETFramework键，其中可以设置COR_ENABLE_PROFILING和COR_PROFILER值。如果配置为阻止意外的CLR分析，应用程序控制或允许列表策略可以是有效的。还应调整端点安全工具，以检测从通常不表现出此类行为的签名二进制文件中加载和执行内存中的.NET程序集。还建议监控受信任供应商进程生成不寻常子进程或进行异常网络连接的进程血统。