新型勒索病毒使用BYOVD技术对抗安全软件

今天看到群里有人求助，询问是不是使用了BYOVD技术，如下所示：

最近一两年BYOVD技术被广泛应用到了各种黑产攻击、APT攻击以及勒索病毒攻击活动当中，笔者近期在对某黑产组织进行跟踪，捕获到该组织的最新攻击样本，通过某安全厂商的驱动程序漏洞，利用BYOVD技术对抗其他各种终端安全软件包括各种EDR、AV、XDR软件等，对该样本进行详细分析，该组织正处于发展阶段，通过肉鸡控制大量主机，从而进行网络违法犯罪活动。

1.勒索病毒样本，编译时间为2025年2月5日，如下所示：

3.生成的勒索提示信息文件名为RECOVERY INFO.txt，勒索提示信息，如下所示：

4.同时还会生成一个wxr.txt的文件，包含用户的ID以及主机相关信息，如下所示：

5.勒索病毒解密暗网网站，如下所示：

1.先看看驱动程序，带有金山的数字签名，如下所示：

2.驱动程序在VT上只有两家报毒，如下所示：

3.通过分析该驱动程序，可被利用用于对抗安全软件，与此前笔者研究过的BYOVD技术中的驱动一样，如下所示：

4.加载可利用的驱动程序，如下所示：

5.调用驱动程序的接口，对抗安全软件进程，如下所示：

6.接口代码，如下所示：

恶意软件研究包含的东西实在是太多了，笔者要分享的东西也太多了，慢慢来吧，有兴趣可以加入笔者专业群，与各位同行一起学习交流。