银狐最新样本引入BYOVD技术概述-小百科

概述

近日，千里目安全技术中心捕获了一批银狐最新样本，与以往不同的不是，攻击者在本轮活动中引入了BYOVD技术，具体来说，其通过滥用米哈游反作弊驱动mhyprot.sys获取内核权限，从而杀死反病毒程序，以不受阻碍地进行后续行动。

此次利用并不是米哈游反作弊驱动mhyprot.sys第一次被滥用于真实攻击，在此之前，APT、勒索组织均使用过该驱动与反病毒程序正面对抗，终止或致盲反病毒程序等。

命中详情

根据日志显示，本轮攻击活动至少从11.04日起活跃至今

其用户层调用程序主要释放路径为C:ProgramData*、C:UsersPublicDocuments*和磁盘根目录，其VulnDriver释放路径均为C:Users*AppDataLocalTemp*

用户层调用程序

驱动模块

(C:Program

DataK5hwdI

O5uGrnRbg6.exe,

a0ec7ac1d25cc

3c9bf23b6ef

aedcb268)

(C:Users*

AppDataLocal

Tempmhyprot.sys,

3f79ea5d2bbd

2023d2f3e4

7d531f0e33)

(C:Program

DatakNTY5C

AyP0gXNDQ4.exe,

a0ec7ac1d25cc3

c9bf23b6efa

edcb268)

(C:Users*

AppDataL

ocalTempmh

yprot.sys,

3f79ea5d2bb

d2023d2f3

e47d531f0e33)

(C:ProgramData

Ocucpy8Z4GHjqHJE.exe,

a0ec7ac1d25cc3c

9bf23b6efaedcb268)

(C:Users

*AppData

LocalTemp

mhyprot.sys,

3f79ea5d2b

bd2023d2f3

e47d531f0e33)

(C:UsersPubli

Documents1.exe,

0001134d197960a

749d1d92af4784263)

(C:Users*

AppData

LocalTemp

mhyprot.sys,

3f79ea5d2bb

d2023d2

f3e47d531f0e33)

(C:UsersPublic

Documents1.exe,

baa6d673ce2260

c527f8caf9a4f87bcf)

(C:Users*

AppData

LocalTempm

hyprot.sys,

3f79ea5d2bbd

2023d2f3

e47d531f0e33)

(D:4718.exe,90

a71e79300e06a93

a78190c654eab1c)

(C:Users*A

ppDataL

ocalTempmhy

prot.sys,

3f79ea5d2bbd

2023d2f3

e47d531f0e33)

(H:4718.exe,0b

09b2cada994c7130

dbcd6d1fb8a86e)

(C:Users*

AppDataLo

calTempmhy

prot.sys,

3f79ea5d2bbd

2023d2f3e

47d531f0e33)

(C:UsersPubli

cDocuments1.exe,

ba92b4b09b5e934

c110c0a234fe14ef8)

(C:Users*

AppDataLo

calTempmh

yprot.sys,

3f79ea5d2bbd

2023d2f3e

47d531f0e33)

处置建议

根据日志排查结果，本轮攻击的用户层调用程序释放路径共计3种，驱动释放共计1种，可排查并清理相关路径下的可疑进程和驱动。

总结

通常来讲，BYOVD技术对攻击者往往有着更高的能力要求，该利用需建立在内核漏洞利用的基础上，但因开源VulnDriver库的建立和开源利用项目的增多，该项技术的利用成本正在不断降低，这表明将会有更多的攻击活动引入该技术，此次发现也恰好验证了前文关于利用成本的分析：

/s/YWJRr0CGvTXHD_Hb_Y8fEw

银狐最新样本引入BYOVD技术概述 繁體

银狐最新样本引入BYOVD技术概述 ^繁體