压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

BYOVD場景追蹤與威脅防護

責編:gltian |2023-07-13 15:09:45

BYOVD攻擊事件

BYOVD場景下的攻擊往往會直接針對終端安全軟件,使其被致盲或殺死,而終端安全防護被攻破后,入侵者將不受阻礙地開展任何惡意行動,這也給終端安全帶來了新的挑戰。

下圖展示了自23年以來包含BYOVD利用的攻擊事件,從圖中可以看出這項技術正廣泛運用于APT、勒索在內的各項攻擊活動。

BYOVD利用分析

利用趨勢分析

BYOVD,全稱為Bring your own vulnerable driver,即攻擊者向目標環境植入一個帶有漏洞的合法驅動程序,再通過漏洞利用獲得內核權限以殺死/致盲終端安全軟件等,這項技術最初主要被如Turla和方程式這樣的頂級APT組織所使用,而隨著攻擊成本的降低,其它攻擊組織也逐漸開始使用這項技術,以BYOVD為標簽進行檢索可以發現在更早些時候就已經有不同的攻擊組織在真實攻擊活動中使用此項技術。

利用方式分析

在BYOVD利用工具的選擇上,攻擊者可能會進行自主開發或合入開源項目,而部分自主開發的工具也是基于開源項目的改進,如在23年上半年的攻擊活動中APT組織UNC2970和勒索組織Lockbit分別使用了自己的BYOVD利用工具LIGHTSHOW和AuKill,其中AuKill與開源BYOVD利用項目Backstab存在相似性,下圖展示了Backstab與AuKill的一些相似函數。

另一方面,LockBit的確在22年11月的勒索攻擊中直接合入了Backstab開源工具,同樣被勒索組織合入的BYOVD利用工具還有SpyBoy Terminator,該工具于5月下旬在網上公開售賣,后被BlackCat用于真實的勒索攻擊。

利用成本分析

LOLDrivers項目記錄在案的,可供攻擊者濫用的合法驅動程序數量在700+,除此之外,還存在著一些未被記錄的或僅被攻擊者所掌握的可用于攻擊活動的合法驅動程序,這意味著攻擊者擁有一個充足的庫來發起BYOVD攻擊。

此外,在Github上進行檢索可以發現一系列BYOVD利用工具,它們分別包括摘除殺軟回調、Kill殺軟進程、關閉/開啟PPL保護,和關閉/開啟強制簽名校驗等多種高級攻擊技巧,這些利用工具涵蓋的功能幾乎滿足了攻擊者的所有需求,攻擊者也可以基于此系列項目掌握驅動漏洞的利用原理,挖掘和開發未知的驅動利用。

BYOVD威脅防護

與LOLDrivers類似的庫還包括微軟的驅動阻止列表和Elastic關于VulnDriver的yara規則等,一方面,它們的出現使得安全審計工作更加方便,另一方面,這些庫和開源的BYOVD利用項目也在很大程度上降低了攻擊成本,缺乏BYOVD威脅防護能力將導致終端安全防護非常容易被擊破。

通過深瞻實驗室與aES團隊的合作,在深信服aES的勒索防護模塊和SAVE引擎中,已能實現針對BYOVD威脅的自動化防護,當此攻擊發生時,深信服EDR將自動攔截,并將關聯的攻擊信息同步到云端以進一步觸發威脅事件告警或威脅事件響應等。

總結

總的來說,通過0day驅動入侵Windows內核的攻擊活動從整體上來講仍舊占比很低,但從近來的真實攻擊事件和針對安全防護軟件的測評結果來看,即使是Nday驅動也會帶來不小的威脅,且該項技術逐漸被各類攻擊活動所青睞,未來這項技術的使用頻率可能會進一步增加,且更加自動化,增加BYOVD威脅防護模塊,會使我們的終端安全更為牢固。

參考連接

https://www.trendmicro.com/en_us/research/23/e/attack-on-security-titans-earth-longzhi-returns-with-new-tricks.html

https://www.mandiant.com/resources/blog/lightshift-and-lightshow

https://asec.ahnlab.com/en/47088/

https://www.crowdstrike.com/blog/scattered-spider-attempts-to-avoid-detection-with-bring-your-own-vulnerable-driver-tactic/

https://www.trendmicro.com/en_fi/research/23/f/malvertising-used-as-entry-vector-for-blackcat-actors-also-lever.html

https://news.sophos.com/en-us/2023/04/19/aukill-edr-killer-malware-abuses-process-explorer-driver/

https://www.sentinelone.com/labs/malvirt-net-virtualization-thrives-in-malvertising-attacks/

https://www.reddit.com/r/crowdstrike/comments/13wjrgn/20230531_situational_awareness_spyboy_defense/

來源:深信服千里目安全技術中心

上一篇:2023年值得關注的32家網絡安全初創公司

下一篇:基于零信任構建云原生安全底座