1.1 BYOVD攻擊事件

BYOVD場(chǎng)景下的攻擊往往會(huì)直接針對(duì)終端安全軟件，使其被致盲或殺死，而終端安全防護(hù)被攻破后，入侵者將不受阻礙地開展任何惡意行動(dòng)，這也給終端安全帶來了新的挑戰(zhàn)。

下圖展示了自23年以來包含BYOVD利用的攻擊事件，從圖中可以看出這項(xiàng)技術(shù)正廣泛運(yùn)用于APT、勒索在內(nèi)的各項(xiàng)攻擊活動(dòng)。

1689667160_64b64658d64e0b18026aa.png!small?1689667148804

1.2 BYOVD利用分析

1.2.1 利用趨勢(shì)分析

BYOVD，全稱為Bring your own vulnerable driver，即攻擊者向目標(biāo)環(huán)境植入一個(gè)帶有漏洞的合法驅(qū)動(dòng)程序，再通過漏洞利用獲得內(nèi)核權(quán)限以殺死/致盲終端安全軟件等，這項(xiàng)技術(shù)最初主要被如Turla和方程式這樣的頂級(jí)APT組織所使用，而隨著攻擊成本的降低，其它攻擊組織也逐漸開始使用這項(xiàng)技術(shù)，以BYOVD為標(biāo)簽進(jìn)行檢索可以發(fā)現(xiàn)在更早些時(shí)候就已經(jīng)有不同的攻擊組織在真實(shí)攻擊活動(dòng)中使用此項(xiàng)技術(shù)。

1689667176_64b64668c7ad5b8acb86c.png!small?1689667164328

1.2.2 利用方式分析

在BYOVD利用工具的選擇上，攻擊者可能會(huì)進(jìn)行自主開發(fā)或合入開源項(xiàng)目，而部分自主開發(fā)的工具也是基于開源項(xiàng)目的改進(jìn)，如在23年上半年的攻擊活動(dòng)中APT組織UNC2970和勒索組織Lockbit分別使用了自己的BYOVD利用工具LIGHTSHOW和AuKill，其中AuKill與開源BYOVD利用項(xiàng)目Backstab存在相似性，下圖展示了Backstab與AuKill的一些相似函數(shù)。

1689667181_64b6466d4ab14ee90e550.png!small?1689667168641

另一方面，LockBit的確在22年11月的勒索攻擊中直接合入了Backstab開源工具，同樣被勒索組織合入的BYOVD利用工具還有SpyBoy Terminator，該工具于5月下旬在網(wǎng)上公開售賣，后被BlackCat用于真實(shí)的勒索攻擊。

1689667200_64b6468001f98cb5be5b0.png!small?1689667187614

1.2.3 利用成本分析

LOLDrivers項(xiàng)目記錄在案的，可供攻擊者濫用的合法驅(qū)動(dòng)程序數(shù)量在700+，除此之外，還存在著一些未被記錄的或僅被攻擊者所掌握的可用于攻擊活動(dòng)的合法驅(qū)動(dòng)程序，這意味著攻擊者擁有一個(gè)充足的庫(kù)來發(fā)起B(yǎng)YOVD攻擊。

1689667216_64b64690f30ceb47072df.png!small?1689667204701

此外，在Github上進(jìn)行檢索可以發(fā)現(xiàn)一系列BYOVD利用工具，它們分別包括摘除殺軟回調(diào)、Kill殺軟進(jìn)程、關(guān)閉/開啟PPL保護(hù)，和關(guān)閉/開啟強(qiáng)制簽名校驗(yàn)等多種高級(jí)攻擊技巧，這些利用工具涵蓋的功能幾乎滿足了攻擊者的所有需求，攻擊者也可以基于此系列項(xiàng)目掌握驅(qū)動(dòng)漏洞的利用原理，挖掘和開發(fā)未知的驅(qū)動(dòng)利用。

1.3 BYOVD威脅防護(hù)

與LOLDrivers類似的庫(kù)還包括微軟的驅(qū)動(dòng)阻止列表和Elastic關(guān)于VulnDriver的yara規(guī)則等，一方面，它們的出現(xiàn)使得安全審計(jì)工作更加方便，另一方面，這些庫(kù)和開源的BYOVD利用項(xiàng)目也在很大程度上降低了攻擊成本，缺乏BYOVD威脅防護(hù)能力將導(dǎo)致終端安全防護(hù)非常容易被擊破。

通過深瞻實(shí)驗(yàn)室與aES團(tuán)隊(duì)的合作，在深信服aES的勒索防護(hù)模塊和SAVE引擎中，已能實(shí)現(xiàn)針對(duì)BYOVD威脅的自動(dòng)化防護(hù)，當(dāng)此攻擊發(fā)生時(shí)，深信服EDR將自動(dòng)攔截，并將關(guān)聯(lián)的攻擊信息同步到云端以進(jìn)一步觸發(fā)威脅事件告警或威脅事件響應(yīng)等。

1689668678_64b64c46001ae2dc311af.png!small?1689668665020

1689668686_64b64c4e066b25b534f05.png!small?1689668673335

1.4 總結(jié)

總的來說，通過0day驅(qū)動(dòng)入侵Windows內(nèi)核的攻擊活動(dòng)從整體上來講仍舊占比很低，但從近來的真實(shí)攻擊事件和針對(duì)安全防護(hù)軟件的測(cè)評(píng)結(jié)果來看，即使是Nday驅(qū)動(dòng)也會(huì)帶來不小的威脅，且該項(xiàng)技術(shù)逐漸被各類攻擊活動(dòng)所青睞，未來這項(xiàng)技術(shù)的使用頻率可能會(huì)進(jìn)一步增加，且更加自動(dòng)化，增加BYOVD威脅防護(hù)模塊，會(huì)使我們的終端安全更為牢固。

1.5 參考鏈接：