驱动程序签名白名单滥用(Driver Signature Whitelist Abuse)是通过伪造或窃取微软WHQL(Windows Hardware Quality Labs)认证签名,使恶意驱动获得系统最高执行权限的技术。攻击者利用泄露的合法签名密钥或已吊销但未失效的证书,为恶意驱动程序附加有效数字签名,利用操作系统对签名驱动的自动信任机制实现权限提升与持久化驻留。
该技术的匿迹性体现在驱动签名验证机制的制度性缺陷利用。攻击者通过逆向分析WHQL认证流程,构造符合形式验证要求但包含隐蔽功能的驱动程序。技术关键点包括:1)使用合法但过期的签名证书,利用系统向后兼容策略绕过时效性检查;2)在驱动初始化阶段动态加载恶意模块,避免静态特征检测;3)利用多阶段签名验证机制的时间差实施攻击。该技术突破传统驱动安全模型的假设基础,使得恶意驱动在获得系统信任后能够实施深度隐蔽的攻击行为。
This type of attack technique cannot be easily mitigated with preventive controls since it is based on the abuse of system features.
Coming soon