某黑产组织最新攻击样本利用BYVOD技术的详细分析
字数 2107 2025-08-24 23:51:09

BYVOD技术攻击样本分析与防御指南

1. 概述

BYVOD(Bring Your Own Vulnerable Driver)技术是近年来黑产组织、APT攻击者和勒索软件团伙广泛采用的一种高级攻击技术。该技术通过利用合法但存在漏洞的驱动程序(通常是安全软件厂商的驱动程序)来绕过或终止其他安全产品的防护。

本文分析的样本来自一个活跃的黑产组织,该组织正处于发展阶段,通过控制大量"肉鸡"主机进行网络违法犯罪活动。样本编译时间为2024年5月23日,具有以下特点:

  • 利用Zemana反恶意软件驱动漏洞
  • 对抗EDR、AV、XDR等多种安全软件
  • 具备持久化能力
  • 具有信息窃取功能

2. 样本详细分析

2.1 初始感染阶段

  1. 下载恶意文件

    • 从远程服务器下载恶意文件
    • 保存路径:C:\ProgramData\3.TXT
    • 如果下载失败,会弹出错误提示

  2. 内存加载与执行

    • 将下载的文件加载到内存中执行
    • 使用跳转指令执行内存中的恶意代码

2.2 代码解密阶段

  1. 异或解密

    • 恶意代码首先对加密部分进行异或解密
    • 解密后显示完整功能代码

  2. 函数解析

    • 获取所需API函数地址
    • 分配内存空间存储解密后的Payload

  3. 内存操作

    • 将解密数据拷贝到分配的内存
    • 修改内存属性为可执行
    • 抹去PE文件前0x1000字节(反分析手段)
    • 跳转到Payload入口点执行

2.3 Payload功能分析

  1. 权限检查

    • 检查进程是否具有管理员权限

  2. 目录操作

    • 检查并创建必要目录结构

  3. 安全软件检测

    • 枚举系统中安装的安全软件
    • 获取需要下载的URL列表

  4. 文件下载

    • 从互联网下载额外组件到指定目录
    • 将自身复制到该目录

  5. 文件结构

    C:\恶意目录\
├── 1.sys       # Zemana反恶意软件驱动
├── 2.txt       # 安全软件终止模块
├── 3.TXT       # 初始下载的恶意文件
└── 4.txt       # 持久化模块

2.4 持久化机制

  1. 计划任务创建

    • 通过4.txt模块创建计划任务实现自启动
    • 任务配置信息包含在解密后的Payload中

  2. 注册表修改

    • 主程序设置注册表自启动项
    • 通常位于HKCU\Software\Microsoft\Windows\CurrentVersion\Run

2.5 安全软件对抗

  1. 驱动利用

    • 使用1.sys(Zemana反恶意软件驱动)的漏洞
    • 控制码ID:0x80002048
    • 加载驱动后调用其功能终止安全软件进程

  2. 进程终止流程

    • 遍历安全软件进程列表
    • 检查驱动文件是否存在
    • 加载驱动并调用其功能
    • 针对的安全软件包括主流EDR、AV和XDR产品

2.6 信息窃取功能

  1. 剪贴板监控

    • 获取剪贴板内容
    • 可能用于窃取密码等敏感信息

  2. 屏幕截图

    • 保存屏幕截图信息

  3. C2通信

    • 与远程服务器通信(IP:154.19.70.72)
    • 传输窃取的数据

3. BYVOD技术深入分析

3.1 Zemana驱动漏洞利用

  1. 漏洞背景

    • Zemana AntiMalware & AntiLogger驱动存在权限提升漏洞
    • 允许非特权用户执行内核级操作

  2. 利用方式

    • 通过特定IOCTL控制码(0x80002048)进行操作
    • 可用于终止进程、绕过安全机制等

  3. 技术参考

3.2 BYVOD技术特点

  1. 供应链攻击

    • 利用合法厂商签名的驱动程序
    • 绕过驱动加载的安全检查

  2. 高权限操作

    • 通过驱动漏洞获得内核级权限
    • 可对抗用户态安全产品

  3. 隐蔽性强

    • 使用白名单驱动减少可疑性
    • 动态加载,内存中操作

4. 威胁情报

  1. 攻击者基础设施

    • C2服务器IP:154.19.70.72
    • 可能还有其他备用IP

  2. 攻击手法

    • 主要通过钓鱼攻击初始入侵
    • 安装远控后门
    • 横向移动控制更多主机

  3. 组织特征

    • 处于发展阶段但技术更新快
    • 攻击目标广泛
    • 持续更新攻击技术

5. 防御建议

5.1 预防措施

  1. 驱动管理

    • 实施驱动允许列表
    • 监控异常驱动加载
    • 定期审核已安装驱动

  2. 权限控制

    • 遵循最小权限原则
    • 限制管理员权限使用

  3. 用户教育

    • 防范钓鱼攻击培训
    • 可疑附件处理流程

5.2 检测手段

  1. 行为监控

    • 监控异常内存操作
    • 检测计划任务/注册表异常修改
    • 关注ProgramData等目录的可疑文件创建

  2. 网络监控

    • 检测与已知恶意IP(154.19.70.72)的通信
    • 分析异常外连行为

  3. 驱动监控

    • 检测Zemana等非常用安全驱动的加载
    • 监控驱动对象的异常操作

5.3 响应建议

  1. 事件响应

    • 隔离受影响系统
    • 收集内存转储和日志进行分析
    • 检查所有计划任务和自启动项

  2. 取证分析

    • 检查C:\ProgramData等目录的可疑文件
    • 分析内存中的异常模块
    • 检查驱动加载历史

  3. 系统修复

    • 移除恶意文件和注册表项
    • 更新所有安全产品
    • 重置受影响账户凭证

6. 总结

BYVOD技术代表了当前高级威胁攻击者的一种趋势:利用信任链中的薄弱环节(如合法但存在漏洞的驱动程序)来绕过安全防护。这种攻击方式具有以下特点:

  1. 高有效性:利用签名驱动,绕过许多安全机制
  2. 低可见性:内存中操作,磁盘痕迹少
  3. 强对抗性:直接针对安全产品本身

防御此类攻击需要多层防护策略,特别需要关注驱动安全和权限管理。安全团队应持续关注新兴的攻击技术和漏洞利用方式,及时更新防御措施。

BYVOD技术攻击样本分析与防御指南 1. 概述 BYVOD(Bring Your Own Vulnerable Driver)技术是近年来黑产组织、APT攻击者和勒索软件团伙广泛采用的一种高级攻击技术。该技术通过利用合法但存在漏洞的驱动程序(通常是安全软件厂商的驱动程序)来绕过或终止其他安全产品的防护。 本文分析的样本来自一个活跃的黑产组织,该组织正处于发展阶段,通过控制大量"肉鸡"主机进行网络违法犯罪活动。样本编译时间为2024年5月23日,具有以下特点: 利用Zemana反恶意软件驱动漏洞 对抗EDR、AV、XDR等多种安全软件 具备持久化能力 具有信息窃取功能 2. 样本详细分析 2.1 初始感染阶段 下载恶意文件 : 从远程服务器下载恶意文件 保存路径: C:\ProgramData\3.TXT 如果下载失败,会弹出错误提示 内存加载与执行 : 将下载的文件加载到内存中执行 使用跳转指令执行内存中的恶意代码 2.2 代码解密阶段 异或解密 : 恶意代码首先对加密部分进行异或解密 解密后显示完整功能代码 函数解析 : 获取所需API函数地址 分配内存空间存储解密后的Payload 内存操作 : 将解密数据拷贝到分配的内存 修改内存属性为可执行 抹去PE文件前0x1000字节(反分析手段) 跳转到Payload入口点执行 2.3 Payload功能分析 权限检查 : 检查进程是否具有管理员权限 目录操作 : 检查并创建必要目录结构 安全软件检测 : 枚举系统中安装的安全软件 获取需要下载的URL列表 文件下载 : 从互联网下载额外组件到指定目录 将自身复制到该目录 文件结构 : 2.4 持久化机制 计划任务创建 : 通过4.txt模块创建计划任务实现自启动 任务配置信息包含在解密后的Payload中 注册表修改 : 主程序设置注册表自启动项 通常位于 HKCU\Software\Microsoft\Windows\CurrentVersion\Run 2.5 安全软件对抗 驱动利用 : 使用1.sys(Zemana反恶意软件驱动)的漏洞 控制码ID: 0x80002048 加载驱动后调用其功能终止安全软件进程 进程终止流程 : 遍历安全软件进程列表 检查驱动文件是否存在 加载驱动并调用其功能 针对的安全软件包括主流EDR、AV和XDR产品 2.6 信息窃取功能 剪贴板监控 : 获取剪贴板内容 可能用于窃取密码等敏感信息 屏幕截图 : 保存屏幕截图信息 C2通信 : 与远程服务器通信(IP:154.19.70.72) 传输窃取的数据 3. BYVOD技术深入分析 3.1 Zemana驱动漏洞利用 漏洞背景 : Zemana AntiMalware & AntiLogger驱动存在权限提升漏洞 允许非特权用户执行内核级操作 利用方式 : 通过特定IOCTL控制码( 0x80002048 )进行操作 可用于终止进程、绕过安全机制等 技术参考 : 详细分析见: VoidSec文章 利用代码: GitHub仓库 3.2 BYVOD技术特点 供应链攻击 : 利用合法厂商签名的驱动程序 绕过驱动加载的安全检查 高权限操作 : 通过驱动漏洞获得内核级权限 可对抗用户态安全产品 隐蔽性强 : 使用白名单驱动减少可疑性 动态加载,内存中操作 4. 威胁情报 攻击者基础设施 : C2服务器IP:154.19.70.72 可能还有其他备用IP 攻击手法 : 主要通过钓鱼攻击初始入侵 安装远控后门 横向移动控制更多主机 组织特征 : 处于发展阶段但技术更新快 攻击目标广泛 持续更新攻击技术 5. 防御建议 5.1 预防措施 驱动管理 : 实施驱动允许列表 监控异常驱动加载 定期审核已安装驱动 权限控制 : 遵循最小权限原则 限制管理员权限使用 用户教育 : 防范钓鱼攻击培训 可疑附件处理流程 5.2 检测手段 行为监控 : 监控异常内存操作 检测计划任务/注册表异常修改 关注ProgramData等目录的可疑文件创建 网络监控 : 检测与已知恶意IP(154.19.70.72)的通信 分析异常外连行为 驱动监控 : 检测Zemana等非常用安全驱动的加载 监控驱动对象的异常操作 5.3 响应建议 事件响应 : 隔离受影响系统 收集内存转储和日志进行分析 检查所有计划任务和自启动项 取证分析 : 检查 C:\ProgramData 等目录的可疑文件 分析内存中的异常模块 检查驱动加载历史 系统修复 : 移除恶意文件和注册表项 更新所有安全产品 重置受影响账户凭证 6. 总结 BYVOD技术代表了当前高级威胁攻击者的一种趋势:利用信任链中的薄弱环节(如合法但存在漏洞的驱动程序)来绕过安全防护。这种攻击方式具有以下特点: 高有效性 :利用签名驱动,绕过许多安全机制 低可见性 :内存中操作,磁盘痕迹少 强对抗性 :直接针对安全产品本身 防御此类攻击需要多层防护策略,特别需要关注驱动安全和权限管理。安全团队应持续关注新兴的攻击技术和漏洞利用方式,及时更新防御措施。