BlackByte勒索软件滥用有漏洞的Windows驱动程序禁用安全解决方案

在另一个自带漏洞驱动程序（BYOVD）攻击的案例中，BlackByte勒索软件的运营商利用合法Windows驱动程序中的漏洞绕过安全解决方案。

Sophos威胁研究人员Andreas Klopsch在一份新的技术报告中表示：“这种规避技术支持禁用超过1000名安全产品提供保护的司机”。

BYOVD是一种攻击技术，它涉及威胁行为体滥用合法、签名的驱动程序中的漏洞，以实现成功的内核模式攻击并夺取对受损机器的控制权。

近年来，国家威胁组织越来越多地利用签约司机的弱点，包括Slingshot、InvisiMole、APT28和最近的Lazarus集团。

BlackByte被认为是现已停产的Conti集团的分支，是大型网络犯罪团伙的一部分，该团伙将目标锁定在大型、高调的目标上，作为其勒索即服务（RaaS）计划的一部分。

根据网络安全公司的说法，该组织最近发起的攻击利用了影响Micro Star MSI Afterburner RTCore64.sys驱动程序的权限升级和代码执行漏洞（CVE-2019-16098，CVSS得分：7.8），从而禁用了安全产品。

更重要的是，对勒索软件样本的分析发现了EDR旁路实现与基于C的开源工具EDRSandblast的实现之间的多重相似性，该工具旨在滥用易受攻击的签名驱动程序以逃避检测。

BlackByte是继RobbinHood和AvosLocker之后，最新一个采用BYOVD方法实现目标的勒索软件家族，这两家公司都将gdrv中的漏洞武器化。sys（CVE-2018-19320）和asWarPot。sys终止与端点保护软件相关的进程。

为了防止BYOVD攻击，建议跟踪系统上安装的驱动程序并确保它们是最新的，或者选择阻止已知可利用的驱动程序。