BYOVD(自带易受攻击驱动)
BYOVD(自带易受攻击驱动) 是什么?
BYOVD(自带易受攻击驱动)一种攻击技术,攻击者加载经过合法签名但存在漏洞的内核驱动,然后利用该漏洞获取内核级访问权限并禁用安全工具。
自带易受攻击驱动(Bring Your Own Vulnerable Driver,BYOVD)是一种防御规避与权限提升技术:攻击者将一个经过合法代码签名但存在漏洞的内核模式驱动部署到目标系统,并滥用其漏洞在内核中执行代码或读写内存。由于该驱动带有有效的数字签名,即使在强制实施驱动签名验证的系统上也能加载,从而赋予攻击者 ring-0 权限,这是用户模式防护无法阻止的。进入内核后,攻击者通常会终止或致盲端点防护、移除进程保护、安装 rootkit 或篡改日志。防御措施包括微软的易受攻击驱动阻止列表、虚拟化保护的代码完整性(HVCI)以及攻击面缩减规则;社区项目 LOLDrivers 收录了已知的易受攻击驱动。
● 示例
- 01
RobbinHood 勒索软件滥用一个已签名且存在漏洞的技嘉主板驱动,在加密文件前禁用杀毒软件。
- 02
微软提供推荐的驱动阻止列表,LOLDrivers 项目则收录了 BYOVD 攻击中常被利用的已签名驱动。
● 常见问题
BYOVD(自带易受攻击驱动) 是什么?
一种攻击技术,攻击者加载经过合法签名但存在漏洞的内核驱动,然后利用该漏洞获取内核级访问权限并禁用安全工具。 它属于网络安全的 攻击与威胁 分类。
BYOVD(自带易受攻击驱动) 是什么意思?
一种攻击技术,攻击者加载经过合法签名但存在漏洞的内核驱动,然后利用该漏洞获取内核级访问权限并禁用安全工具。
BYOVD(自带易受攻击驱动) 是如何工作的?
自带易受攻击驱动(Bring Your Own Vulnerable Driver,BYOVD)是一种防御规避与权限提升技术:攻击者将一个经过合法代码签名但存在漏洞的内核模式驱动部署到目标系统,并滥用其漏洞在内核中执行代码或读写内存。由于该驱动带有有效的数字签名,即使在强制实施驱动签名验证的系统上也能加载,从而赋予攻击者 ring-0 权限,这是用户模式防护无法阻止的。进入内核后,攻击者通常会终止或致盲端点防护、移除进程保护、安装 rootkit 或篡改日志。防御措施包括微软的易受攻击驱动阻止列表、虚拟化保护的代码完整性(HVCI)以及攻击面缩减规则;社区项目 LOLDrivers 收录了已知的易受攻击驱动。
如何防御 BYOVD(自带易受攻击驱动)?
针对 BYOVD(自带易受攻击驱动) 的防御通常结合技术控制与运营实践,详见上方完整定义。
BYOVD(自带易受攻击驱动) 还有哪些其他名称?
常见的别称包括: Bring Your Own Vulnerable Driver, 易受攻击驱动滥用。
● 相关术语
- malware№ 1059
Rootkit
一种隐蔽性极强的恶意软件,可在操作系统或设备上获得并隐藏特权访问权限,使常规工具难以检测。
- defense-ops№ 413
EDR(端点检测与响应)
持续记录端点进程、文件、注册表与网络活动,以检测、调查并响应主机层威胁的端点安全技术。
- vulnerabilities№ 964
权限提升
一类漏洞,使攻击者获得超出原本授予的权限,例如从普通用户变为管理员。
- cryptography№ 356
数字签名
一种公钥密码学机制,用于证明消息或文档的真实性、完整性以及不可否认性。
- attacks№ 688
就地取材攻击
攻击者不投放自有恶意软件,而是滥用受害系统中已存在的合法工具和脚本完成攻击的战术风格。
- defense-ops№ 330
防御规避
MITRE ATT&CK 战术 TA0005,涵盖攻击者用来规避检测、禁用安全工具并隐藏自身活动的各种技术。