压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

BYOVD攻擊事件

BYOVD場(chǎng)景下的攻擊往往會(huì)直接針對(duì)終端安全軟件，使其被致盲或殺死，而終端安全防護(hù)被攻破后，入侵者將不受阻礙地開(kāi)展任何惡意行動(dòng)，這也給終端安全帶來(lái)了新的挑戰(zhàn)。

下圖展示了自23年以來(lái)包含BYOVD利用的攻擊事件，從圖中可以看出這項(xiàng)技術(shù)正廣泛運(yùn)用于APT、勒索在內(nèi)的各項(xiàng)攻擊活動(dòng)。

BYOVD利用分析

利用趨勢(shì)分析

BYOVD，全稱(chēng)為Bring your own vulnerable driver，即攻擊者向目標(biāo)環(huán)境植入一個(gè)帶有漏洞的合法驅(qū)動(dòng)程序，再通過(guò)漏洞利用獲得內(nèi)核權(quán)限以殺死/致盲終端安全軟件等，這項(xiàng)技術(shù)最初主要被如Turla和方程式這樣的頂級(jí)APT組織所使用，而隨著攻擊成本的降低，其它攻擊組織也逐漸開(kāi)始使用這項(xiàng)技術(shù)，以BYOVD為標(biāo)簽進(jìn)行檢索可以發(fā)現(xiàn)在更早些時(shí)候就已經(jīng)有不同的攻擊組織在真實(shí)攻擊活動(dòng)中使用此項(xiàng)技術(shù)。

利用方式分析

在BYOVD利用工具的選擇上，攻擊者可能會(huì)進(jìn)行自主開(kāi)發(fā)或合入開(kāi)源項(xiàng)目，而部分自主開(kāi)發(fā)的工具也是基于開(kāi)源項(xiàng)目的改進(jìn)，如在23年上半年的攻擊活動(dòng)中APT組織UNC2970和勒索組織Lockbit分別使用了自己的BYOVD利用工具LIGHTSHOW和AuKill，其中AuKill與開(kāi)源BYOVD利用項(xiàng)目Backstab存在相似性，下圖展示了Backstab與AuKill的一些相似函數(shù)。

另一方面，LockBit的確在22年11月的勒索攻擊中直接合入了Backstab開(kāi)源工具，同樣被勒索組織合入的BYOVD利用工具還有SpyBoy Terminator，該工具于5月下旬在網(wǎng)上公開(kāi)售賣(mài)，后被BlackCat用于真實(shí)的勒索攻擊。

利用成本分析

LOLDrivers項(xiàng)目記錄在案的，可供攻擊者濫用的合法驅(qū)動(dòng)程序數(shù)量在700+，除此之外，還存在著一些未被記錄的或僅被攻擊者所掌握的可用于攻擊活動(dòng)的合法驅(qū)動(dòng)程序，這意味著攻擊者擁有一個(gè)充足的庫(kù)來(lái)發(fā)起B(yǎng)YOVD攻擊。

此外，在Github上進(jìn)行檢索可以發(fā)現(xiàn)一系列BYOVD利用工具，它們分別包括摘除殺軟回調(diào)、Kill殺軟進(jìn)程、關(guān)閉/開(kāi)啟PPL保護(hù)，和關(guān)閉/開(kāi)啟強(qiáng)制簽名校驗(yàn)等多種高級(jí)攻擊技巧，這些利用工具涵蓋的功能幾乎滿(mǎn)足了攻擊者的所有需求，攻擊者也可以基于此系列項(xiàng)目掌握驅(qū)動(dòng)漏洞的利用原理，挖掘和開(kāi)發(fā)未知的驅(qū)動(dòng)利用。

BYOVD威脅防護(hù)

與LOLDrivers類(lèi)似的庫(kù)還包括微軟的驅(qū)動(dòng)阻止列表和Elastic關(guān)于VulnDriver的yara規(guī)則等，一方面，它們的出現(xiàn)使得安全審計(jì)工作更加方便，另一方面，這些庫(kù)和開(kāi)源的BYOVD利用項(xiàng)目也在很大程度上降低了攻擊成本，缺乏BYOVD威脅防護(hù)能力將導(dǎo)致終端安全防護(hù)非常容易被擊破。

通過(guò)深瞻實(shí)驗(yàn)室與aES團(tuán)隊(duì)的合作，在深信服aES的勒索防護(hù)模塊和SAVE引擎中，已能實(shí)現(xiàn)針對(duì)BYOVD威脅的自動(dòng)化防護(hù)，當(dāng)此攻擊發(fā)生時(shí)，深信服EDR將自動(dòng)攔截，并將關(guān)聯(lián)的攻擊信息同步到云端以進(jìn)一步觸發(fā)威脅事件告警或威脅事件響應(yīng)等。

總結(jié)

總的來(lái)說(shuō)，通過(guò)0day驅(qū)動(dòng)入侵Windows內(nèi)核的攻擊活動(dòng)從整體上來(lái)講仍舊占比很低，但從近來(lái)的真實(shí)攻擊事件和針對(duì)安全防護(hù)軟件的測(cè)評(píng)結(jié)果來(lái)看，即使是Nday驅(qū)動(dòng)也會(huì)帶來(lái)不小的威脅，且該項(xiàng)技術(shù)逐漸被各類(lèi)攻擊活動(dòng)所青睞，未來(lái)這項(xiàng)技術(shù)的使用頻率可能會(huì)進(jìn)一步增加，且更加自動(dòng)化，增加BYOVD威脅防護(hù)模塊，會(huì)使我們的終端安全更為牢固。

參考連接

https://www.trendmicro.com/en_us/research/23/e/attack-on-security-titans-earth-longzhi-returns-with-new-tricks.html

https://www.mandiant.com/resources/blog/lightshift-and-lightshow

https://asec.ahnlab.com/en/47088/

https://www.crowdstrike.com/blog/scattered-spider-attempts-to-avoid-detection-with-bring-your-own-vulnerable-driver-tactic/

https://www.trendmicro.com/en_fi/research/23/f/malvertising-used-as-entry-vector-for-blackcat-actors-also-lever.html

https://news.sophos.com/en-us/2023/04/19/aukill-edr-killer-malware-abuses-process-explorer-driver/

https://www.sentinelone.com/labs/malvirt-net-virtualization-thrives-in-malvertising-attacks/

https://www.reddit.com/r/crowdstrike/comments/13wjrgn/20230531_situational_awareness_spyboy_defense/

來(lái)源：深信服千里目安全技術(shù)中心