内核态音频驱动恶意软件是一种高度隐蔽的间谍工具,它伪装成合法的.sys 驱动文件,加载到 Windows 内核后直接 hook 麦克风相关 API,实现无声环境录音并外传数据。这种威胁绕过用户态监控,无明显进程指标,特别适合 APT 攻击。
典型攻击始于驱动加载,通常通过漏洞利用或供应链污染(如伪造签名驱动)注入系统。逆向分析此类恶意软件,首先使用 WinDbg 附加到内核,设置断点于驱动入口如 DriverEntry,观察 IRP_MJ_DEVICE_CONTROL 分发函数。恶意驱动常针对 portcls.sys 或 ks.sys 中的麦克风设备栈,hook WaveInOpen 或 KsProperty_WaveIn_xxx IRP,拦截录音请求而不触发用户可见 LED 灯或权限提示。
例如,在 hook 函数中,恶意代码可修改采样参数为 8kHz/16bit 单声道,降低 CPU 占用至 < 1%,并缓冲数据至内核内存池,避免频繁磁盘 I/O。录音数据经 RC4 或 AES 加密后,通过 C2 通道外传:优先 DNS 隧道(TXT 记录,每 5min 上报 1KB),fallback 至 ICMP 或 HTTP POST(User-Agent 伪装浏览器)。这种设计确保无网络流量异常,exfil 速率控制在 10KB/s 内。
防护需从加载阶段入手:启用 Early Launch Anti-Malware (ELAM),配置 AM SI 策略拒绝无微软签名驱动;监控事件日志 Event ID 7045(新服务 / 驱动),阈值:1min 内 > 2 次加载即警报。检测脚本示例(PowerShell):
Get-WinEvent -FilterHashtable @{LogName='System'; ID=7045} -MaxEvents 100 | Where-Object {$_.Message -match '\.sys.*audio|mic'} | Select TimeCreated, Message
缓解清单:
- 禁用非必要麦克风设备:设备管理器→音频输入→禁用未知驱动。
- 部署内核 CB/ETW 监控:Sysmon 规则 hook IRP_MJ_DEVICE_CONTROL on audio devices,阈值 SNR>20dB 异常录音触发。
- 定期扫描驱动签名:
sigcheck -tvu C:\Windows\System32\drivers\*.sys,移除过期 / 自签。 - 网络层:Wireshark 过滤 mic 数据指纹(熵 > 7.5),阻断高熵 UDP/53 端口。
- 回滚策略:隔离后 bsod 重启,加载干净镜像恢复。
实际案例中,类似 HP Conexant 驱动(CVE-2017-8360)虽为 keylogger,但暴露音频驱动易滥用风险。“瑞士 Modzero 研究员发现,Conexant 驱动调试功能记录按键至公共日志。” 另一研究显示,Realtek 芯片可逆转耳机扬声器为 mic,录制 20 英尺内对话。
逆向工具链:IDA Pro 加载.sys(Base=ntoskrnl.exe),FLAIR 签名训练内核函数;Ghidra 分析 IRP 表;Volatility 内存取证扫描 hooked SSDT。参数优化:hook 深度 <3 层栈,避免蓝屏;C2 心跳间隔> 300s。
部署 SIEM 规则:内核异常 + mic API 调用 + 低速外传,即高危告警。企业可自定义 AM 驱动预载黑名单,阈值匹配率 > 80% 阻载。
资料来源:Twitter @officialwhyte22 逆向分享;HP Conexant 案例分析;Realtek 耳机窃听研究。