BYOVD (Bring Your Own Vulnerable Driver)
Что такое BYOVD (Bring Your Own Vulnerable Driver)?
BYOVD (Bring Your Own Vulnerable Driver)Техника атаки, при которой злоумышленник загружает легитимно подписанный, но уязвимый драйвер ядра и эксплуатирует его недостаток, чтобы получить доступ уровня ядра и отключить средства защиты.
Bring Your Own Vulnerable Driver (BYOVD) — это техника обхода защиты и повышения привилегий, при которой злоумышленник разворачивает на целевой системе легитимно подписанный, но уязвимый драйвер режима ядра и злоупотребляет его недостатком, чтобы выполнять код или читать и записывать память в ядре. Поскольку драйвер имеет действительную цифровую подпись, он загружается даже на системах с принудительной проверкой подписи драйверов, давая злоумышленнику привилегии ring-0, которые средства пользовательского режима остановить не могут. Из ядра атакующие обычно завершают или ослепляют защиту конечных точек, снимают защиту процессов, устанавливают руткиты или искажают журналирование. К мерам защиты относятся список блокировки уязвимых драйверов Microsoft, защита целостности кода на основе гипервизора (HVCI) и правила сокращения поверхности атаки; общественный проект LOLDrivers каталогизирует известные уязвимые драйверы.
● Примеры
- 01
Программа-вымогатель RobbinHood злоупотребила подписанным уязвимым драйвером материнской платы Gigabyte, чтобы отключить антивирус перед шифрованием файлов.
- 02
Microsoft распространяет рекомендованный список блокировки драйверов, а проект LOLDrivers каталогизирует подписанные драйверы, часто эксплуатируемые в атаках BYOVD.
● Частые вопросы
Что такое BYOVD (Bring Your Own Vulnerable Driver)?
Техника атаки, при которой злоумышленник загружает легитимно подписанный, но уязвимый драйвер ядра и эксплуатирует его недостаток, чтобы получить доступ уровня ядра и отключить средства защиты. Относится к категории Атаки и угрозы в кибербезопасности.
Что означает BYOVD (Bring Your Own Vulnerable Driver)?
Техника атаки, при которой злоумышленник загружает легитимно подписанный, но уязвимый драйвер ядра и эксплуатирует его недостаток, чтобы получить доступ уровня ядра и отключить средства защиты.
Как работает BYOVD (Bring Your Own Vulnerable Driver)?
Bring Your Own Vulnerable Driver (BYOVD) — это техника обхода защиты и повышения привилегий, при которой злоумышленник разворачивает на целевой системе легитимно подписанный, но уязвимый драйвер режима ядра и злоупотребляет его недостатком, чтобы выполнять код или читать и записывать память в ядре. Поскольку драйвер имеет действительную цифровую подпись, он загружается даже на системах с принудительной проверкой подписи драйверов, давая злоумышленнику привилегии ring-0, которые средства пользовательского режима остановить не могут. Из ядра атакующие обычно завершают или ослепляют защиту конечных точек, снимают защиту процессов, устанавливают руткиты или искажают журналирование. К мерам защиты относятся список блокировки уязвимых драйверов Microsoft, защита целостности кода на основе гипервизора (HVCI) и правила сокращения поверхности атаки; общественный проект LOLDrivers каталогизирует известные уязвимые драйверы.
Как защититься от BYOVD (Bring Your Own Vulnerable Driver)?
Защита от BYOVD (Bring Your Own Vulnerable Driver) обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия BYOVD (Bring Your Own Vulnerable Driver)?
Распространённые альтернативные названия: Bring Your Own Vulnerable Driver, злоупотребление уязвимым драйвером.
● Связанные термины
- malware№ 1059
Руткит
Скрытное вредоносное ПО, обеспечивающее и маскирующее привилегированный доступ к ОС или устройству, обходя стандартные средства обнаружения.
- defense-ops№ 413
EDR (обнаружение и реагирование на конечных точках)
Технология защиты конечных точек, которая непрерывно фиксирует активность процессов, файлов, реестра и сети, чтобы обнаруживать, расследовать и устранять угрозы на хостах.
- vulnerabilities№ 964
Повышение привилегий
Класс уязвимостей, позволяющий злоумышленнику получить права выше предоставленных изначально, например перейти от обычного пользователя к администратору.
- cryptography№ 356
Цифровая подпись
Криптографический механизм с открытым ключом, доказывающий подлинность, целостность и невозможность отказа от авторства сообщения или документа.
- attacks№ 688
Living off the Land
Стиль атаки, при котором противник вместо собственного вредоносного ПО злоупотребляет легитимными встроенными инструментами и скриптами на скомпрометированной системе.
- defense-ops№ 330
Обход защит (Defense Evasion)
Тактика MITRE ATT&CK (TA0005), охватывающая техники, которыми атакующий уклоняется от обнаружения, отключает средства защиты и скрывает свою активность.