EDR-Killer 生态系统扩大，利用 BYOVD 攻击逃避检测

执行摘要

日益增长且越来越易获得的工具和服务生态系统使得威胁行为者能够可靠地通过使用自带易受攻击驱动程序（BYOVD）攻击来禁用端点检测和响应（EDR）软件。这种技术利用合法但易受攻击的内核模式驱动程序获得高权限访问并终止安全进程，已从小众能力演变为广泛威胁。尽管防御起来具有挑战性，但Dark Reading引述的专家断言，内核级别的强大、分层防御可以有效缓解这些攻击。

技术分析

BYOVD攻击并不利用EDR产品本身的漏洞。相反，对手首先通过其他方式获得被入侵主机上的管理员或SYSTEM权限。然后，他们加载一个数字签名但易受攻击的驱动程序——通常是来自合法硬件供应商的驱动程序——该驱动程序已经存在于系统上，或者他们自己带来的。由于这些驱动程序是用操作系统信任的证书签名的，它们加载到内核中时不会触发标准安全警报。

一旦易受攻击的驱动程序加载，它包含的缺陷允许用户模式进程向其发送特别制作的指令。这些指令利用驱动程序的漏洞执行特权内核模式操作，例如直接读取和写入内核内存。攻击者主要使用这种能力来定位和终止与EDR和防病毒代理相关的进程、线程和内核回调，使端点对随后的恶意活动视而不见。核心技术挑战在于Windows内核对签名驱动程序的固有信任，这在安全链中创造了一个难以审计和控制的薄弱环节。

入侵指标

目前没有识别出任何入侵指标。

战术、技术与程序

采用BYOVD的威胁行为者遵循可辨识的模式。该技术映射到MITRE ATT&CK子技术T1547.006: 启动或登录自动启动执行：内核模块和扩展用于驱动程序加载，以及T1562.001: 削弱防御：禁用或修改工具用于规避行为。典型的程序流程从初始访问和权限提升开始，以获得加载驱动程序所需的必要权限。然后，行为者要么识别出系统上已有的合适易受攻击的驱动程序，要么投放自己的驱动程序文件。使用单独的加载器工具，他们安装并启动驱动程序。最后，他们执行一个与恶意驱动程序通信的配套工具，以操纵内核内存并卸载或禁用EDR组件。这个过程通常通过脚本或犯罪生态系统中可用的一体化工具包自动化。

威胁行为者背景

BYOVD的使用不再局限于高级持续性威胁（APT）团体或复杂的勒索软件运营商。根据源材料中引用的分析，支持这些攻击的生态系统已经显著扩大。这包括商业销售现成的“EDR杀手”服务，为特定易受攻击的驱动程序发布概念验证漏洞代码的开源出版物，以及将这些能力捆绑到流行的渗透测试和犯罪恶意软件框架中。这种商品化降低了进入门槛，允许更广泛的网络犯罪分子将EDR规避作为标准步骤集成到他们的攻击中。

缓解措施与建议

缓解BYOVD攻击需要超越传统的端点安全并在内核和固件级别实施控制。关键建议包括：

• **启用内核模式硬件强制堆栈保护和易受攻击驱动程序阻止列表：**利用Windows安全功能，如Microsoft易受攻击驱动程序阻止列表，这是Windows安全内核模式攻击保护框架的一部分。这需要启用内存完整性和相关的虚拟机管理程序保护代码完整性（HVCI）功能。
• **实施驱动程序允许列表：**在高安全环境中，建立政策，只允许由特定组织批准的证书签名的驱动程序加载，而不是依赖更广泛的Microsoft受信任根CA。
• **强制执行代码完整性策略（CI）：**通过工具如Windows Defender应用程序控制部署和管理CI策略，以限制驱动程序加载。
• **监控驱动程序加载事件：**增加对内核驱动程序安装事件（Windows事件ID 6005、6006）和驱动程序加载操作的日志记录和监控，特别是来自不寻常路径或由非管理员用户执行的操作。
• **分段管理访问权限：**严格限制网络中的本地管理员和SYSTEM权限访问，以减少BYOVD所需的初始权限提升的攻击面。