54種EDR攻擊工具利用BYOVD技術繞過安全防護

一項針對端點檢測與響應（EDR）攻擊工具的最新分析顯示，54種此類工具利用了"自帶漏洞驅動程序"（BYOVD）技術，共濫用了34個存在漏洞的簽名驅動程序。

EDR攻擊工具已成為勒索軟件攻擊中的常見組件，為攻擊者在部署文件加密惡意軟件之前提供了中和安全軟件的途徑，以此來規避檢測。

ESET研究員雅庫布·蘇切克在報告中指出："勒索軟件團伙，特別是那些運營勒索軟件即服務（RaaS）項目的團伙，經常制作新版本的加密程序，確保每個新版本都能可靠地逃避檢測是非常耗時的。更重要的是，加密程序本身就很容易被發現，因為它們需要在短時間內修改大量文件，使此類惡意軟件不被檢測相當具有挑戰性。"

EDR攻擊工具作為專門的外部組件，在執行加密程序之前運行以禁用安全控制，從而保持加密程序的簡單、穩定和易于重建。不過也有將EDR終止和勒索軟件模塊融合到單一二進制文件的情況，雷諾茲勒索軟件就是一個典型例子。

大多數EDR攻擊工具依賴合法但存在漏洞的驅動程序來獲取提升的權限并實現其目標。在這家斯洛伐克網絡安全公司檢測到的近90種EDR攻擊工具中，超過一半利用了著名的BYOVD策略，因為這種方法非常可靠。

比特梵德解釋說："BYOVD攻擊的目標是獲得內核模式權限，通常稱為Ring 0。在此級別，代碼可以不受限制地訪問系統內存和硬件。由于攻擊者無法加載未簽名的惡意驅動程序，他們會'攜帶'一個由知名供應商簽名的驅動程序，該驅動程序存在已知漏洞。"

有了內核訪問權限，威脅行為者可以終止EDR進程、禁用安全工具、篡改內核回調并破壞端點保護。結果就是濫用微軟的驅動程序信任模型來規避防御，利用了漏洞驅動程序合法且經過簽名這一事實。

基于BYOVD的EDR攻擊工具主要由三類威脅行為者開發：

不依賴下級成員的封閉式勒索軟件組織，如DeadLock和Warlock

分叉和調整現有概念驗證代碼的攻擊者，例如SmilingKiller和TfSysMon-Killer

在地下市場將此類工具作為服務進行營銷的網絡犯罪分子，例如DemoKiller（又名Бафомет）、ABYSSWORKER和CardSpaceKiller

ESET表示還發現了基于腳本的工具，這些工具使用內置的管理命令，如taskkill、net stop或sc delete來干擾安全產品進程和服務的正常功能。某些變種還被發現將腳本與Windows安全模式相結合。

該公司指出："由于安全模式只加載操作系統的最小子集，通常不包括安全解決方案，惡意軟件有更高的機會禁用保護。同時，這種活動非常明顯，因為需要重啟，在未知環境中風險很大且不可靠。因此，在實際攻擊中很少見到。"

第三類EDR攻擊工具是反rootkit工具，包括GMER、HRSword和PC Hunter等合法實用程序，它們提供直觀的用戶界面來終止受保護的進程或服務。第四類新興的是一套無驅動程序的EDR攻擊工具，如EDRSilencer和EDR-Freeze，它們阻止EDR解決方案的出站流量，使程序進入類似"昏迷"的狀態。

ESET表示："攻擊者并沒有投入太多精力使其加密程序不被檢測。相反，所有復雜的防御規避技術都轉移到了EDR攻擊工具的用戶模式組件上。這種趨勢在商業EDR攻擊工具中最為明顯，這些工具通常具有成熟的反分析和反檢測能力。"

為了對抗勒索軟件和EDR攻擊工具，阻止常被濫用的驅動程序加載是必要的防御機制。然而，考慮到EDR攻擊工具只在最后階段、啟動加密程序之前執行，在這個階段的失敗意味著威脅行為者可以輕易切換到另一個工具來完成相同的任務。

這意味著組織需要建立分層防御和檢測策略，在攻擊生命周期的每個階段主動監控、標記、遏制和修復威脅。

ESET表示："EDR攻擊工具之所以持續存在，是因為它們廉價、一致且與加密程序分離——這對于加密程序開發者（無需專注于使其加密程序不被檢測）和下級成員（擁有易于使用的強大實用程序在加密前破壞防御）來說都是完美的選擇。"

Q&A

Q1：BYOVD攻擊技術是什么原理？

A：BYOVD（自帶漏洞驅動程序）攻擊的目標是獲得內核模式權限（Ring 0級別）。由于攻擊者無法加載未簽名的惡意驅動程序，他們會攜帶一個由知名供應商簽名但存在已知漏洞的合法驅動程序，利用其漏洞獲取系統最高權限。

Q2：EDR攻擊工具主要由哪些威脅行為者開發？

A：主要有三類開發者：一是DeadLock和Warlock等不依賴下級成員的封閉式勒索軟件組織；二是分叉和調整現有概念驗證代碼的攻擊者；三是在地下市場將此類工具作為服務進行營銷的網絡犯罪分子。

Q3：如何有效防護EDR攻擊工具？

A：組織需要建立分層防御策略，包括阻止常被濫用的驅動程序加載，在攻擊生命周期的每個階段主動監控、標記、遏制和修復威脅。由于EDR攻擊工具在最后階段執行，單一防御措施失效時攻擊者容易切換工具，因此需要多重防護。