概述
近日,千里目安全技术中心捕获了一批银狐最新样本,与以往不同的不是,攻击者在本轮活动中引入了BYOVD技术,具体来说,其通过滥用米哈游反作弊驱动mhyprot.sys获取内核权限,从而杀死反病毒程序,以不受阻碍地进行后续行动。
此次利用并不是米哈游反作弊驱动mhyprot.sys第一次被滥用于真实攻击,在此之前,APT、勒索组织均使用过该驱动与反病毒程序正面对抗,终止或致盲反病毒程序等。
命中详情
根据日志显示,本轮攻击活动至少从11.04日起活跃至今
其用户层调用程序主要释放路径为C:\ProgramData\*、C:\Users\Public\Documents\*和磁盘根目录,其VulnDriver释放路径均为C:\Users\*\AppData\Local\Temp\*
处置建议
根据日志排查结果,本轮攻击的用户层调用程序释放路径共计3种,驱动释放共计1种,可排查并清理相关路径下的可疑进程和驱动。
总结
通常来讲,BYOVD技术对攻击者往往有着更高的能力要求,该利用需建立在内核漏洞利用的基础上,但因开源VulnDriver库的建立和开源利用项目的增多,该项技术的利用成本正在不断降低,这表明将会有更多的攻击活动引入该技术,此次发现也恰好验证了前文关于利用成本的分析:
https://mp.weixin.qq.com/s/YWJRr0CGvTXHD_Hb_Y8fEw
文章来源: https://mp.weixin.qq.com/s?__biz=Mzg2NjgzNjA5NQ==&mid=2247521482&idx=1&sn=4cac6d92c10e8f317c8efcfb555807fd&chksm=ce461fdaf93196cc118a64654c3ae871048d1a27b37ec35da673ee02bae27edde85cdf3a9684&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh
如有侵权请联系:admin#unsafe.sh