sys0xFF/CVE-2025-61155

# CVE-2025-61155 — `GameDriverX64.sys` 中的任意进程终止漏洞 [](https://www.cve.org/CVERecord?id=CVE-2025-61155) [](https://nvd.nist.gov/vuln/detail/CVE-2025-61155) [](https://cwe.mitre.org/data/definitions/862.html) [](docs/05-in-the-wild.md) [](LICENSE) 一个带有有效签名的内核态反作弊驱动 —— `GameDriverX64.sys`，随 **Tower of Fantasy**（Hotta Studio / Perfect World）发布 —— 允许 **任何无特权的本地用户终止任意进程**，包括受 PPL 保护的防病毒/EDR 服务。这是勒索软件运营者梦寐以求的基础攻击原语，并且目前正被 *Interlock* 团伙作为 BYOVD EDR-killer **在野滥用**。 本仓库是一次完整且可复现的拆解分析：包含安全公告、原创的 IDA Pro 逆向工程分析、漏洞概念验证（PoC）以及即拿即用的检测与缓解方案内容。 ## 演示 ## 概览 | | | | --- | --- | | **驱动程序** | `GameDriverX64.sys` (KMDF)，版本 `<= 7.23.4.7` | | **供应商** | Hotta Studio / Perfect World — 内部代号 `PwrdDriver` / `HtDriver2.0` | | **签名者** | `Fedeen Games Limited` (有效的 Authenticode 签名) | | **设备名** | `\\.\HtAntiCheatDriver` | | **原语** | IOCTL `0x222040`，魔数 `0xFA123456` → 在内核上下文中调用 `ZwTerminateProcess` | | **所需权限** | 除标准本地用户外无需任何特权 | | **影响** | 终止任何进程，包括受 PPL 保护的 AV/EDR → BYOVD EDR-killer | | **CVSS 3.1** | 5.5 中危 · `AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H` | | **状态** | 已公开，**在野被利用** (Interlock, Reynolds) | ## 利用链 ``` 1. LoadLibrary a DLL named QmGUI.dll / QmGUI4.dll / gameuirender.dll └─ passes the filename-only "verification" in IRP_MJ_CREATE 2. CreateFile("\\.\HtAntiCheatDriver") ← default DACL, any user can open 3. DeviceIoControl(0x222040, {0xFA123456, pid}) ← only gate is a hardcoded magic 4. Driver: ZwOpenProcess(GENERIC_ALL) → ZwTerminateProcess └─ runs with PreviousMode == KernelMode → access check skipped └─ kills ANY process, including protected AV/EDR ``` 三道“防线”均被攻破：该设备没有仅限管理员的 ACL，创建检查仅对比**模块名字符串**（可通过加载同名 DLL 伪造），并且 IOCTL 闸门使用的是**硬编码在二进制文件中的常量**。随后终止操作在内核中执行，因此进程保护 (PPL) 不起作用。完整分析详见 [`docs/01-technical-analysis.md`](docs/01-technical-analysis.md)。 ## 仓库导航 | 路径 | 内容 | | --- | --- | | [`advisory.md`](advisory.md) | 正式安全公告 | | [`docs/01-technical-analysis.md`](docs/01-technical-analysis.md) | 原创的 IDA Pro 逆向工程分析 | | [`docs/02-exploitation.md`](docs/02-exploitation.md) | 利用链与 PoC 详解 | | [`docs/03-detection.md`](docs/03-detection.md) | 如何检测该驱动及其滥用行为 | | [`docs/04-mitigation.md`](docs/04-mitigation.md) | HVCI / WDAC 拦截与移除 | | [`docs/05-in-the-wild.md`](docs/05-in-the-wild.md) | Interlock / BYOVD 使用情况与时间线 | | [`poc/poc.cpp`](poc/poc.cpp) | 最小化概念验证 | | [`detection/cve-2025-61155.yar`](detection/cve-2025-61155.yar) | YARA 规则 | | [`detection/iocs.md`](detection/iocs.md) | 攻陷指标 | | [`sample/SAMPLE.md`](sample/SAMPLE.md) | 样本身份与来源（未提交二进制文件） | | [`NEWS.md`](NEWS.md) | 最新进展持续记录 | | [`SECURITY.md`](SECURITY.md) | 负责任的披露政策与联系方式 | ## 逆向工程 [`docs/01-technical-analysis.md`](docs/01-technical-analysis.md) 中的分析是使用 **IDA Pro 9.4 + Hex-Rays** 对具有合法签名的漏洞样本（SHA-256 `9DDAE4…3C9F1E`，见 [`sample/SAMPLE.md`](sample/SAMPLE.md)）进行静态分析得出的。本仓库中的每个地址、常量和反编译代码片段均直接提取自该二进制文件，并独立印证了关于在野攻击工具的公开报道。 ## 防御者：从这里开始 1. **拦截** 通过 Microsoft 易受攻击驱动程序黑名单 (HVCI) 和/或 WDAC 拒绝规则拦截该驱动 — [`docs/04-mitigation.md`](docs/04-mitigation.md)。 2. **狩猎** 使用 YARA 规则和 IOC 进行威胁狩猎 — [`detection/`](detection/)。 3. **检测** 利用行为（设备打开、`0x222040` IOCTL、源自内核的进程终止） — [`docs/03-detection.md`](docs/03-detection.md)。 ## 免责声明 仅供防御性安全、检测工程、教育和研究使用。请仅在您拥有或被授权测试的系统上使用此概念验证。详见 [`SECURITY.md`](SECURITY.md)。出于安全考虑，故意未包含此存在漏洞的驱动程序二进制文件。 ## 参考 - NVD — https://nvd.nist.gov/vuln/detail/CVE-2025-61155 - MITRE / CVE.org — https://www.cve.org/CVERecord?id=CVE-2025-61155 - GitHub Advisory — https://github.com/advisories/GHSA-9qfv-m6w2-fhch - 官方公告 (共同作者) — https://github.com/pollotherunner/CVE-2025-61155 - FortiGuard Labs — https://www.fortinet.com/blog/threat-research/interlock-ransomware-new-techniques-same-old-tricks - Securonix — https://connect.securonix.com/threat-research-intelligence-62/cve-2025-61155-and-interlock-ransomware-a-converging-threat-198 - Vespalec, "Tower of Flaws" — https://vespalec.com/blog/tower-of-flaws/

标签：AMSI绕过, BYOVD, EDR绕过, Web报告查看器, 内核驱动漏洞, 威胁检测, 逆向分析, 高交互蜜罐