概述
近日,千里目安全技术中心捕获了一批银狐最新样本,与以往不同的不是,攻击者在本轮活动中引入了BYOVD技术,具体来说,其通过滥用米哈游反作弊驱动mhyprot.sys获取内核权限,从而杀死反病毒程序,以不受阻碍地进行后续行动。
此次利用并不是米哈游反作弊驱动mhyprot.sys第一次被滥用于真实攻击,在此之前,APT、勒索组织均使用过该驱动与反病毒程序正面对抗,终止或致盲反病毒程序等。
命中详情
根据日志显示,本轮攻击活动至少从11.04日起活跃至今
其用户层调用程序主要释放路径为C:ProgramData*、C:UsersPublicDocuments*和磁盘根目录,其VulnDriver释放路径均为C:Users*AppDataLocalTemp*
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
处置建议
根据日志排查结果,本轮攻击的用户层调用程序释放路径共计3种,驱动释放共计1种,可排查并清理相关路径下的可疑进程和驱动。
总结
通常来讲,BYOVD技术对攻击者往往有着更高的能力要求,该利用需建立在内核漏洞利用的基础上,但因开源VulnDriver库的建立和开源利用项目的增多,该项技术的利用成本正在不断降低,这表明将会有更多的攻击活动引入该技术,此次发现也恰好验证了前文关于利用成本的分析:
https://mp.weixin.qq.com/s/YWJRr0CGvTXHD_Hb_Y8fEw
原文始发于微信公众号(深信服千里目安全技术中心):【威胁预警】银狐最新样本引入BYOVD技术概述
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论