BYOVD (Bring Your Own Vulnerable Driver)
O que é BYOVD (Bring Your Own Vulnerable Driver)?
BYOVD (Bring Your Own Vulnerable Driver)Técnica de ataque em que o adversário carrega um driver de kernel legitimamente assinado mas vulnerável e explora a sua falha para obter acesso de nível de kernel e desativar ferramentas de segurança.
Bring Your Own Vulnerable Driver (BYOVD) é uma técnica de evasão de defesas e escalonamento de privilégios na qual o atacante implanta no sistema-alvo um driver em modo kernel legitimamente assinado mas vulnerável e abusa da sua falha para executar código ou ler e escrever memória no kernel. Como o driver tem uma assinatura digital válida, ele carrega mesmo em sistemas que impõem a verificação de assinatura de drivers, concedendo ao adversário privilégios ring-0 que os controlos em modo utilizador não conseguem deter. A partir do kernel, os atacantes costumam encerrar ou cegar a proteção de endpoints, remover proteções de processos, instalar rootkits ou adulterar o registo de eventos. As defesas incluem a lista de bloqueio de drivers vulneráveis da Microsoft, a Integridade de Código Protegida por Hipervisor (HVCI) e regras de redução da superfície de ataque; o projeto comunitário LOLDrivers cataloga drivers vulneráveis conhecidos.
● Exemplos
- 01
O ransomware RobbinHood abusou de um driver de placa-mãe Gigabyte assinado e vulnerável para desativar o antivírus antes de cifrar os ficheiros.
- 02
A Microsoft distribui uma lista de bloqueio de drivers recomendada, e o projeto LOLDrivers cataloga drivers assinados comummente explorados em ataques BYOVD.
● Perguntas frequentes
O que é BYOVD (Bring Your Own Vulnerable Driver)?
Técnica de ataque em que o adversário carrega um driver de kernel legitimamente assinado mas vulnerável e explora a sua falha para obter acesso de nível de kernel e desativar ferramentas de segurança. Pertence à categoria Ataques e ameaças da cibersegurança.
O que significa BYOVD (Bring Your Own Vulnerable Driver)?
Técnica de ataque em que o adversário carrega um driver de kernel legitimamente assinado mas vulnerável e explora a sua falha para obter acesso de nível de kernel e desativar ferramentas de segurança.
Como funciona BYOVD (Bring Your Own Vulnerable Driver)?
Bring Your Own Vulnerable Driver (BYOVD) é uma técnica de evasão de defesas e escalonamento de privilégios na qual o atacante implanta no sistema-alvo um driver em modo kernel legitimamente assinado mas vulnerável e abusa da sua falha para executar código ou ler e escrever memória no kernel. Como o driver tem uma assinatura digital válida, ele carrega mesmo em sistemas que impõem a verificação de assinatura de drivers, concedendo ao adversário privilégios ring-0 que os controlos em modo utilizador não conseguem deter. A partir do kernel, os atacantes costumam encerrar ou cegar a proteção de endpoints, remover proteções de processos, instalar rootkits ou adulterar o registo de eventos. As defesas incluem a lista de bloqueio de drivers vulneráveis da Microsoft, a Integridade de Código Protegida por Hipervisor (HVCI) e regras de redução da superfície de ataque; o projeto comunitário LOLDrivers cataloga drivers vulneráveis conhecidos.
Como se defender contra BYOVD (Bring Your Own Vulnerable Driver)?
As defesas contra BYOVD (Bring Your Own Vulnerable Driver) costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para BYOVD (Bring Your Own Vulnerable Driver)?
Nomes alternativos comuns: Bring Your Own Vulnerable Driver, abuso de driver vulnerável.
● Termos relacionados
- malware№ 1059
Rootkit
Malware furtivo que concede e oculta acesso privilegiado a um sistema operativo ou dispositivo, escapando às ferramentas de deteção comuns.
- defense-ops№ 413
EDR (Endpoint Detection and Response)
Tecnologia de segurança de endpoint que regista continuamente atividade de processos, ficheiros, registo e rede para detetar, investigar e responder a ameaças nos hosts.
- vulnerabilities№ 964
Escalada de privilégios
Classe de vulnerabilidades que permite a um atacante obter permissões superiores às concedidas inicialmente, por exemplo passar de utilizador normal a administrador.
- cryptography№ 356
Assinatura digital
Mecanismo criptográfico de chave pública que comprova autenticidade, integridade e não-repúdio de uma mensagem ou documento.
- attacks№ 688
Living off the Land
Estilo de ataque em que o adversario abusa de ferramentas e scripts legitimos ja instalados no sistema vitima em vez de implantar malware proprio.
- defense-ops№ 330
Evasão de Defesas
Tática MITRE ATT&CK (TA0005) que reúne técnicas usadas para evitar deteção, desativar ferramentas de segurança e ocultar a atividade do atacante no sistema alvo.