文章总结： 该文档揭示了攻击者利用合法安全工具RogueKiller的TrueSight.sys驱动程序漏洞进行大规模攻击活动。通过篡改证书绕过微软防御，攻击者能终止包括CrowdStrikeFalcon在内的192个安全产品进程，为部署勒索软件和远程访问木马铺平道路。自2024年6月起，已有超过2500个有效签名变种被用于攻击，微软直到2024年12月才修补相关黑名单漏洞。 综合评分： 85 文章分类： 恶意软件,威胁情报,漏洞分析,终端安全,渗透测试

TrueSightKiller：超过2500种可绕过微软防御的武器化安全工具变种

TtTeam

2026年2月18日 12:38 广东

一场大规模的攻击活动正在利用一款合法的安全工具来破坏您的防御系统。超过2500 个经过有效签名的 truesight.sys 驱动程序变种（该驱动程序是 Adlice Software 公司 RogueKiller 防病毒套件的一个组件）正被攻击者利用，在部署勒索软件和远程访问木马之前，破坏终端安全防护。

讽刺的是，一款旨在保护系统免受恶意软件侵害的驱动程序，如今却成了摧毁安全软件的主要武器。

Check Point Research 于 2025 年 1 月发现了这一攻击活动，并记录了攻击者如何利用 Windows 驱动程序签名策略漏洞，允许 2015 年之前签名的驱动程序加载到现代 Windows 11 系统上。

关键事实：

• 超过 2500 个具有有效数字签名的独特变体
• 通过证书篡改绕过微软的易受攻击驱动程序阻止列表
• 自 2024 年 6 月起开始运营，每周都有新样本发布。
• 包括 Silver Fox、勒索软件组织和 APT 在内的多个威胁行为者
• 97%的自动驾驶飞机规避率——73台发动机中只有2台检测到

MagicSword 正在积极监控这一威胁，并提供实时情报，以帮助防御者阻止这些攻击。

攻击原理

武器化安全工具

TrueSight.sys 是Adlice Software 旗下 RogueKiller 防病毒软件的合法内核模式驱动程序，RogueKiller 是全球安全专家广泛使用的工具。但其旧版本 2.0.2 存在一个严重漏洞：可任意终止进程。

攻击者发现，他们可以发送特定的 IOCTL 命令 (0x22E044) 来终止系统上的任何进程，包括通常无法从用户模式终止的受保护安全软件。

攻击链

初步妥协：

带有恶意附件的网络钓鱼邮件虚假网站提供合法软件被入侵的 Telegram 频道水坑袭击

多阶段部署：

第一阶段：伪装成合法安装程序的下载器

第二阶段：通过计划任务建立持久性，使用 DLL 侧加载

第三阶段：部署 EDR 杀手模块 + 最终有效载荷（Gh0st RAT）

EDR杀手模块：

Check Point 的研究人员发现了一个复杂的模块（受 VMProtect 保护），该模块针对192 个安全产品进程，其中包括：

CrowdStrike Falcon、哨兵一号、Sophos Endpoint、趋势科技、卡巴斯基、ESET、赛门铁克、迈克菲以及其他184人

模块的操作：

如果 TrueSight 驱动程序尚未安装，请下载该驱动程序。将驱动程序安装为名为 TCLService 的服务。发送 IOCTL 以终止所有目标安全进程从磁盘中删除安全软件部署最终有效载荷，防御系统完全无法察觉。

从最初妥协到完全控制所需时间：仅需 30 分钟。

技术诀窍：为什么传统防御会失败

证书篡改

攻击者并非使用未签名的恶意软件或被盗证书，而是通过操纵有效签名的驱动程序来绕过所有传统防御措施。

Check Point 的分析显示，攻击者仅修改了驱动程序中的8 个字节：

4 字节：校验和字段（证书检查期间不进行验证）4 字节：证书填充（加密签名数据之外）

这样可以生成2^64 个可能的唯一文件哈希值，同时保持驱动程序的有效数字签名。

微软的黑名单差距

微软的易受攻击驱动程序黑名单使用待签名（TBS）哈希值来阻止恶意证书。TrueSight 证书的 TBS 哈希值

(1D7E838ACCD498C2E5BA9373AF819EC097BB955C)已在微软的黑名单中，但它与不同的易受攻击驱动程序（例如 Kaspersky 和 Zemana）相关联。

屏蔽列表条目并未明确提及 truesight.sys，因此 2.0.2 版本得以漏网。微软直到2024 年 12 月 17 日才弥补这一漏洞，此时距离此次攻击活动开始已过去了六个月。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：TtTeam 《TrueSightKiller：超过2500种可绕过微软防御的武器化安全工具变种》