BYOVD場景追蹤與威脅防護
1.1 BYOVD攻擊事件
BYOVD場景下的攻擊往往會直接針對終端安全軟件,使其被致盲或殺死,而終端安全防護被攻破后,入侵者將不受阻礙地開展任何惡意行動,這也給終端安全帶來了新的挑戰(zhàn)。
下圖展示了自23年以來包含BYOVD利用的攻擊事件,從圖中可以看出這項技術(shù)正廣泛運用于APT、勒索在內(nèi)的各項攻擊活動。
1689667160_64b64658d64e0b18026aa.png!small?1689667148804
1.2 BYOVD利用分析
1.2.1 利用趨勢分析
BYOVD,全稱為Bring your own vulnerable driver,即攻擊者向目標環(huán)境植入一個帶有漏洞的合法驅(qū)動程序,再通過漏洞利用獲得內(nèi)核權(quán)限以殺死/致盲終端安全軟件等,這項技術(shù)最初主要被如Turla和方程式這樣的頂級APT組織所使用,而隨著攻擊成本的降低,其它攻擊組織也逐漸開始使用這項技術(shù),以BYOVD為標簽進行檢索可以發(fā)現(xiàn)在更早些時候就已經(jīng)有不同的攻擊組織在真實攻擊活動中使用此項技術(shù)。
1689667176_64b64668c7ad5b8acb86c.png!small?1689667164328
1.2.2 利用方式分析
在BYOVD利用工具的選擇上,攻擊者可能會進行自主開發(fā)或合入開源項目,而部分自主開發(fā)的工具也是基于開源項目的改進,如在23年上半年的攻擊活動中APT組織UNC2970和勒索組織Lockbit分別使用了自己的BYOVD利用工具LIGHTSHOW和AuKill,其中AuKill與開源BYOVD利用項目Backstab存在相似性,下圖展示了Backstab與AuKill的一些相似函數(shù)。
1689667181_64b6466d4ab14ee90e550.png!small?1689667168641
另一方面,LockBit的確在22年11月的勒索攻擊中直接合入了Backstab開源工具,同樣被勒索組織合入的BYOVD利用工具還有SpyBoy Terminator,該工具于5月下旬在網(wǎng)上公開售賣,后被BlackCat用于真實的勒索攻擊。
1689667200_64b6468001f98cb5be5b0.png!small?1689667187614
1.2.3 利用成本分析
LOLDrivers項目記錄在案的,可供攻擊者濫用的合法驅(qū)動程序數(shù)量在700+,除此之外,還存在著一些未被記錄的或僅被攻擊者所掌握的可用于攻擊活動的合法驅(qū)動程序,這意味著攻擊者擁有一個充足的庫來發(fā)起B(yǎng)YOVD攻擊。
1689667216_64b64690f30ceb47072df.png!small?1689667204701
此外,在Github上進行檢索可以發(fā)現(xiàn)一系列BYOVD利用工具,它們分別包括摘除殺軟回調(diào)、Kill殺軟進程、關(guān)閉/開啟PPL保護,和關(guān)閉/開啟強制簽名校驗等多種高級攻擊技巧,這些利用工具涵蓋的功能幾乎滿足了攻擊者的所有需求,攻擊者也可以基于此系列項目掌握驅(qū)動漏洞的利用原理,挖掘和開發(fā)未知的驅(qū)動利用。
1.3 BYOVD威脅防護
與LOLDrivers類似的庫還包括微軟的驅(qū)動阻止列表和Elastic關(guān)于VulnDriver的yara規(guī)則等,一方面,它們的出現(xiàn)使得安全審計工作更加方便,另一方面,這些庫和開源的BYOVD利用項目也在很大程度上降低了攻擊成本,缺乏BYOVD威脅防護能力將導(dǎo)致終端安全防護非常容易被擊破。
通過深瞻實驗室與aES團隊的合作,在深信服aES的勒索防護模塊和SAVE引擎中,已能實現(xiàn)針對BYOVD威脅的自動化防護,當(dāng)此攻擊發(fā)生時,深信服EDR將自動攔截,并將關(guān)聯(lián)的攻擊信息同步到云端以進一步觸發(fā)威脅事件告警或威脅事件響應(yīng)等。
1689668678_64b64c46001ae2dc311af.png!small?1689668665020
1689668686_64b64c4e066b25b534f05.png!small?1689668673335
1.4 總結(jié)
總的來說,通過0day驅(qū)動入侵Windows內(nèi)核的攻擊活動從整體上來講仍舊占比很低,但從近來的真實攻擊事件和針對安全防護軟件的測評結(jié)果來看,即使是Nday驅(qū)動也會帶來不小的威脅,且該項技術(shù)逐漸被各類攻擊活動所青睞,未來這項技術(shù)的使用頻率可能會進一步增加,且更加自動化,增加BYOVD威脅防護模塊,會使我們的終端安全更為牢固。
