再论 BackStab

      在2021年6月19日曾经介绍过这个BackStab工具，主要是它能利用合法的驱动来杀掉安全防护程序EDR，因为利用了微软的签名，所以在系统上无所阻挡，这也是针对安全产品的基于驱动程序的攻击呈上升趋势。当年写了个介绍的文章《工具：BackStab》，写得非常得详细，也分析得很到位了，今天再次拿出来，是因为《“AuKill”EDR 杀手级恶意软件滥用 Process Explorer 驱动程序》，该工具依赖自带易受攻击的驱动程序 (BYOVD) 技术来禁用EDR。在BYOVD攻击中，威胁行为者滥用安全产品所依赖的合法签名驱动程序中的漏洞，以实现成功的内核模式利用。AuKill滥用16.32版Microsoft 实用程序Process Explorer使用的过时版本的驱动 程序来禁用EDR进程。该工具和勒索软件配合使用，已发生多起了。

“Process Explorer驱动程序是Sysinternals团队开发的管理工具套件的一部分，它实现了多种功能以与正在运行的进程进行交互。”“AuKill将名为PROCEXP.SYS的驱动程序（来自进程资源管理器的发行版16.32）放入C:WindowsSystem32drivers路径。合法的Process Explorer驱动程序名为PROCEXP152.sys，通常位于同一位置。两个驱动程序都可以存在于运行Process Explorer副本的机器上。AuKill安装程序还将其自身的可执行副本放入system32或TEMP目录，它作为服务运行。”

我看了下最新版的ProcExp152.sys的版本信息为：17.02，位于c:windowssystem32drivers下；而BackStab自带的ProcExp.sys的版本信息为：16.32；

源码的功能性分析在《工具：BackStab》（点击可以查看）中写得较清楚，但深层次的分析没有开展，可以看源码进行细致地研究，确实值得一读，给我们提供了很好的思路，也可以提升我们的代码能力和安全防御能力。这里不过多的赘述，看代码理解。

原文始发于微信公众号（MicroPest）：再论 BackStab