【安全资讯】黑字节勒索软件滥用易受攻击的Windows驱动程序以禁用安全解决方案

在引入自己的易受攻击的驱动程序（BYOVD）攻击的另一种情况下，BlackByte勒索软件的运营商正在利用合法Windows驱动程序中的缺陷来绕过安全解决方案。

“规避技术支持禁用超过1000个驱动程序的庞大列表，安全产品依靠这些驱动程序提供保护，”Sophos威胁研究员Andreas Klopsch在一篇新的技术文章中说。

BYOVD 是一种攻击技术，涉及威胁参与者滥用合法签名驱动程序中的漏洞，以实现成功的内核模式利用并夺取对受感染计算机的控制。

近年来，民族国家威胁团体越来越多地利用签名车手的弱点，包括弹弓，隐形莫勒，APT28以及最近的拉撒路集团。

BlackByte被认为是现已停产的Conti集团的一个分支，是大型游戏网络犯罪团队的一部分，该集团将大型高调目标作为其勒索软件即服务（RaaS）计划的一部分。

据这家网络安全公司称，该组织最近发起的攻击利用了权限提升和代码执行缺陷（CVE-2019-16098，CVSS评分：7.8），影响了微星MSI加力燃烧室RTCore64.sys驱动程序禁用安全产品。

更重要的是，对勒索软件样本的分析发现了EDR旁路实现与基于C的开源工具EDRSandblast之间的多种相似之处，该工具旨在滥用易受攻击的签名驱动程序来逃避检测。

BlackByte是最新的勒索软件系列，采用BYOVD方法来实现其目标，仅次于罗宾胡德和阿沃斯洛克，两者都在gdrv.sys（CVE-2018-19320）和asWarPot中都有武器化的错误.sys终止与端点保护软件相关的进程。

为了防止 BYOVD 攻击，建议跟踪系统上安装的驱动程序并确保它们是最新的，或者选择将已知可利用的驱动程序列入阻止列表。

参考链接：
[1]https://thehackernews.com/2022/10/blackbyte-ransomware-abuses-vulnerable.html