勒索软件团伙进化EDR规避，采用新的基于驱动程序的杀手

执行摘要

勒索软件威胁行为者正在系统地部署更广泛的工具，这些工具旨在禁用端点检测和响应（EDR）软件，这是文件加密之前的关键步骤。根据ESET Research的报告，这种演变现在包括使用恶意签名但合法的内核模式驱动程序来终止安全进程，超越了之前更广为人知的依赖于利用合法驱动程序中已知漏洞的做法。这种转变代表了操作安全的显著升级，使得检测更加困难，并增加了成功部署勒索软件的可能性。

技术分析

ESET记录的核心技术进步是从利用易受攻击的驱动程序（“自带易受攻击驱动程序”或BYOVD技术）转变为部署定制的、恶意的驱动程序，这些驱动程序是数字签名的。这些签名的驱动程序滥用Windows内核固有的高系统权限来操纵内核数据结构，并终止与EDR和防病毒代理相关的进程。与BYOVD不同，后者利用来自信誉良好的供应商的现有（通常是过时的）驱动程序中的缺陷，这种方法涉及由威胁行为者编写的驱动程序，但通过欺诈或欺骗性签名，通常是通过被破坏或购买的证书。这使得驱动程序获得了加载到内核的必要信任，在那里它可以最小摩擦地禁用安全控制。这种技术是对供应商和操作系统对加载已知易受攻击驱动程序的防御措施改进的直接回应。

入侵指标

目前没有识别出任何入侵指标。

战术、技术与程序

观察到的主要战术、技术与程序（TTP）是防御规避技术中的削弱防御（TA0040），具体子技术为T1562.001: 禁用或修改工具。执行流程通常遵循一个模式：初始访问（通常是通过钓鱼或利用），建立立足点，横向移动，然后，在勒索软件引爆之前，部署EDR杀手。恶意驱动程序被加载，通常使用标准的Windows实用程序如PnPUtil.exe，一旦运行，它会扫描并终止属于预定义的安全产品列表中的进程、线程和驱动程序模块。这个过程被设计为精确的，留下系统的其余部分正常运行，以确保勒索软件负载可以不受阻碍地执行。

威胁行为者背景

虽然ESET的报告没有将这种特定技术归因于命名的威胁组织，但采用基于签名驱动程序的EDR杀手与复杂的、以财务为动机的勒索软件操作的行为一致。这些组织不断投资于研究和开发，以克服安全改进。从BYOVD到定制签名驱动程序的转变表明了一定程度的足智多谋和获取代码签名证书盗窃或地下市场的能力，这些证书可以在那里获得。这种策略不是单一组织的领域，而是正在成为更广泛勒索软件生态系统中的标准化工具，表明了分支机构和核心开发者之间的知识共享或并行开发。

缓解措施与建议

组织应实施分层防御策略。关键措施包括：

• **强制驱动程序允许列表：配置策略以阻止加载未经可信发布者明确签名或不在批准列表上的驱动程序。Microsoft的Hypervisor-Protected Code Integrity (HVCI)**是这项技术的核心。
• **警惕证书管理：**监控并调查由新的或意外的证书颁发机构或发布者签名的驱动程序的安装。
• **增强EDR配置：**部署具有受保护进程和内核级自防御机制的EDR解决方案，这些机制可以检测并阻止终止尝试。
• **严格的权限管理：**坚持最小权限原则，确保标准用户帐户不能加载内核驱动程序，并严格控制管理访问。
• **网络分割：**限制横向移动，以限制安全工具禁用的影响，为检测和响应争取时间。
• **威胁情报集成：**订阅提供新兴EDR规避工具的指标和行为模式的订阅源，以主动更新检测逻辑。