BYOVD (Bring Your Own Vulnerable Driver)
Was ist BYOVD (Bring Your Own Vulnerable Driver)?
BYOVD (Bring Your Own Vulnerable Driver)Angriffstechnik, bei der Angreifer einen legitim signierten, aber verwundbaren Kernel-Treiber laden und dessen Schwachstelle ausnutzen, um Kernel-Zugriff zu erlangen und Sicherheitswerkzeuge zu deaktivieren.
Bring Your Own Vulnerable Driver (BYOVD) ist eine Technik zur Umgehung von Schutzmaßnahmen und zur Rechteausweitung, bei der ein Angreifer einen legitim codesignierten, aber verwundbaren Kernelmodus-Treiber auf dem Zielsystem einsetzt und dessen Schwachstelle missbraucht, um Code auszuführen oder Speicher im Kernel zu lesen und zu schreiben. Da der Treiber eine gültige digitale Signatur trägt, lädt er selbst auf Systemen mit erzwungener Treibersignaturprüfung und verschafft dem Angreifer Ring-0-Rechte, die Kontrollen im Benutzermodus nicht aufhalten können. Aus dem Kernel heraus beenden oder blenden Angreifer häufig den Endpunktschutz, entfernen Prozessschutz, installieren Rootkits oder manipulieren die Protokollierung. Zu den Abwehrmaßnahmen zählen Microsofts Sperrliste verwundbarer Treiber, die hypervisorgeschützte Codeintegrität (HVCI) und Regeln zur Reduzierung der Angriffsfläche; das Community-Projekt LOLDrivers katalogisiert bekannte verwundbare Treiber.
● Beispiele
- 01
Die Ransomware RobbinHood missbrauchte einen signierten, verwundbaren Gigabyte-Mainboard-Treiber, um den Virenschutz vor dem Verschlüsseln der Dateien zu deaktivieren.
- 02
Microsoft liefert eine empfohlene Treiber-Sperrliste, und das LOLDrivers-Projekt katalogisiert signierte Treiber, die häufig in BYOVD-Angriffen ausgenutzt werden.
● Häufige Fragen
Was ist BYOVD (Bring Your Own Vulnerable Driver)?
Angriffstechnik, bei der Angreifer einen legitim signierten, aber verwundbaren Kernel-Treiber laden und dessen Schwachstelle ausnutzen, um Kernel-Zugriff zu erlangen und Sicherheitswerkzeuge zu deaktivieren. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.
Was bedeutet BYOVD (Bring Your Own Vulnerable Driver)?
Angriffstechnik, bei der Angreifer einen legitim signierten, aber verwundbaren Kernel-Treiber laden und dessen Schwachstelle ausnutzen, um Kernel-Zugriff zu erlangen und Sicherheitswerkzeuge zu deaktivieren.
Wie funktioniert BYOVD (Bring Your Own Vulnerable Driver)?
Bring Your Own Vulnerable Driver (BYOVD) ist eine Technik zur Umgehung von Schutzmaßnahmen und zur Rechteausweitung, bei der ein Angreifer einen legitim codesignierten, aber verwundbaren Kernelmodus-Treiber auf dem Zielsystem einsetzt und dessen Schwachstelle missbraucht, um Code auszuführen oder Speicher im Kernel zu lesen und zu schreiben. Da der Treiber eine gültige digitale Signatur trägt, lädt er selbst auf Systemen mit erzwungener Treibersignaturprüfung und verschafft dem Angreifer Ring-0-Rechte, die Kontrollen im Benutzermodus nicht aufhalten können. Aus dem Kernel heraus beenden oder blenden Angreifer häufig den Endpunktschutz, entfernen Prozessschutz, installieren Rootkits oder manipulieren die Protokollierung. Zu den Abwehrmaßnahmen zählen Microsofts Sperrliste verwundbarer Treiber, die hypervisorgeschützte Codeintegrität (HVCI) und Regeln zur Reduzierung der Angriffsfläche; das Community-Projekt LOLDrivers katalogisiert bekannte verwundbare Treiber.
Wie schützt man sich gegen BYOVD (Bring Your Own Vulnerable Driver)?
Schutzmaßnahmen gegen BYOVD (Bring Your Own Vulnerable Driver) kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für BYOVD (Bring Your Own Vulnerable Driver)?
Übliche alternative Bezeichnungen: Bring Your Own Vulnerable Driver, Missbrauch verwundbarer Treiber.
● Verwandte Begriffe
- malware№ 1059
Rootkit
Tarn-Malware, die einem Angreifer privilegierten Zugriff auf ein Betriebssystem oder Gerät gewährt und ihn vor üblichen Werkzeugen versteckt.
- defense-ops№ 413
EDR (Endpoint Detection and Response)
Endpoint-Sicherheitstechnologie, die fortlaufend Prozess-, Datei-, Registry- und Netzwerkaktivitäten aufzeichnet, um Bedrohungen auf Hosts zu erkennen, zu untersuchen und darauf zu reagieren.
- vulnerabilities№ 964
Privilegieneskalation
Eine Klasse von Schwachstellen, die einem Angreifer höhere Rechte verschafft als ursprünglich vergeben — etwa vom normalen Benutzer zum Administrator.
- cryptography№ 356
Digitale Signatur
Asymmetrisches kryptografisches Verfahren, das Authentizität, Integrität und Nichtabstreitbarkeit einer Nachricht oder eines Dokuments belegt.
- attacks№ 688
Living off the Land
Angriffsstil, bei dem Angreifer legitime, vorinstallierte Tools und Skripte des Opfersystems missbrauchen, statt eigene Malware abzulegen.
- defense-ops№ 330
Defense Evasion
MITRE-ATT&CK-Taktik (TA0005), die Techniken zum Umgehen von Erkennung, Deaktivieren von Sicherheitswerkzeugen und Verbergen der Aktivität auf einem Zielsystem bündelt.