Blackbyte Ransomware滥用易受攻击的Windows驱动程序禁用安全解决方案

在另一个带来自己的易受攻击的驱动程序( BYOVD )攻击的情况下，Blackbyte 勒索软件的操作员正在利用一个合法的Windows驱动程序的缺陷来绕过安全解决方案。

  Sophos威胁研究人员Andreas克洛普施在一份新的技术报告中说：”规避技术支持禁用安全产品所依赖的1000多名司机的庞大名单。

  BYOVD是一种攻击技术，涉及威胁行为者滥用合法的、签名的驱动程序中的漏洞，以实现成功的内核模式利用和控制受损的机器。

近年来，包括弹弓、InvisiMole、APT28以及最近的拉扎鲁斯集团在内的民族国家威胁集团越来越多地选择了签约司机的弱点。

黑莓( BlackByte )被认为是现在已经停止的康蒂集团的一个分支，它是大型游戏网络犯罪集团的一部分，它将大型的、引人注目的目标作为其赎金服务计划的一部分。

据网络安全公司称，该集团最近发动的攻击利用了特权升级和代码执行缺陷( CVE- 2019-16098 , CVSS评分: 7.8)，影响了Micro – Star MSI加力燃烧室RTCore64 . sys驱动程序，以禁用安全产品。

此外，对勒索软件样本的分析发现了EDR旁路实现与基于C的开源工具EDRSandblast之间的许多相似之处，该工具旨在滥用易受攻击的签名驱动来逃避检测。

  BlackByte是继RobbinHood和AvosLocker之后最新推出的采用BYOVD方法来实现目标的勒索软件家族。RobbinHood和AvosLocker都将gdrv . sys ( CVE – 2018 – 19320)和asWarPot . sys中的缺陷武器化，以终止与端点防护软件相关的进程。

为了防止BYOVD攻击，建议跟踪系统上安装的驱动程序，并确保它们是最新的，或者选择阻止已知可利用的驱动程序。