پس از شناخت محدودیتهای ذاتی EDRها در بخش قبلی، حالا وارد یکی از مهمترین و خطرناکترین تکنیکهای دور زدن EDR میشویم؛ تکنیکی که با استفاده از درایورهای آسیبپذیر، عملاً کنترل کامل سیستم را به مهاجم میدهد.
این روش که با نام BYOVD (Bring Your Own Vulnerable Driver) شناخته میشود، در سالهای اخیر به شدت در میان باجافزارها، گروههای APT و حملات پیچیده رایج شده است.
در این مقاله از سلام دیجی، این تکنیک را دقیق و شفاف تحلیل میکنیم و به شما نشان میدهیم چرا BYOVD یک تهدید واقعی برای هر سازمان است.
🔸 تکنیک اول: BYOVD (Bring Your Own Vulnerable Driver)
آوردن درایور آسیبپذیر برای دور زدن EDR
مفهوم تکنیک BYOVD :
در این تکنیک، مهاجم یک درایور قانونی امضاشده (Signed Driver) که دارای آسیبپذیریهای شناخته شده است را به همراه حمله خود به سیستم قربانی منتقل میکند.
با بارگذاری این درایور آسیبپذیر، مهاجم به راحتی میتواند به سطح دسترسی Kernel Mode (Ring 0) دست یابد؛ یعنی دقیقاً همان جایی که بیشتر EDRها دسترسی کافی ندارند یا نمیتوانند مداخله کنند.
هدف نهایی مهاجم:
✔️ غیرفعالسازی EDR یا آنتیویروس
✔️ اجرای کدهای مخرب با سطح دسترسی بالا
✔️ دور زدن سیاستهای امنیتی سیستم عامل
🔸 چرایی موفقیت تکنیک BYOVD :
✔️ سیستمعامل Windows اجازه نصب درایورهای امضاشده را میدهد، حتی اگر درایور دارای آسیبپذیری باشد.
✔️ بسیاری از این درایورها قبلاً در حملات واقعی استفاده شدهاند، اما همچنان در اینترنت قابلدسترساند.
✔️ با تغییر تاریخ سیستم یا استفاده از گواهیهای قدیمی، مهاجم میتواند فرآیند اعتبارسنجی امضا را دور بزند.
🔸 نمونههای واقعی از حملات BYOVD :
|
سال |
بدافزار / گروه |
درایور مورد سوءاستفاده |
شرح حمله |
|
۲۰۲۳ |
Medusa Locker |
RTCore64.sys (MSI) |
Kill کردن سرویس EDR و رمزگذاری سیستم |
|
۲۰۲۴ |
Abyss Locker |
mhyprot2.sys (MiHoYo) |
غیر فعالسازی EDR و استقرار باجافزار |
|
۲۰۲۵ |
LockBit |
Multiple Drivers |
بارگذاری چندین درایور آسیبپذیر برای حملات چند مرحلهای |
🔸 نحوه کار دقیق BYOVD :
۱. بدافزار، درایور آسیبپذیر را در سیستم بارگذاری میکند.
۲. از آسیبپذیریهای درایور برای اجرای دستورات با سطح کرنل سوءاستفاده میشود.
۳. مهاجم میتواند:
✔️ حافظه EDR را Patch کند.
✔️ سرویسهای EDR و Security Suite را خاموش کند.
✔️ فایلها و Registryهای محافظتشده را تغییر دهد.
۴. پس از اجرای موفق، معمولاً درایور حذف میشود تا شناسایی دشوارتر شود.
🔸 ابزارها و چارچوبهای معروف BYOVD :
KDMapper✔️
CheekyBlinder✔️
HookSignTool✔️
ابزارهای شخصیسازیشده توسط APTها و Ransomware-as-a-Service (RaaS)
🔸 چرا BYOVD برای EDRها تهدید بزرگی است؟
✔️ مهاجم از درایور قانونی و امضاشده استفاده میکند؛ EDR بهراحتی نمیتواند آن را بلاک کند.
✔️ تکنیکهای متداول EDR مثل Hooking و Behavioral Detection در برابر آن ناکارآمدند.
✔️ قابلیت غیرفعالسازی یا نابودی EDR توسط مهاجم، مسیر حمله را کاملاً باز میکند.
🔸 اقدامات پیشگیرانه برای مدیران امنیت:
|
اقدام |
شرح |
|
محدودیت نصب درایور |
تنها نصب درایورهای مجاز از طریق Policyها |
|
مانیتورینگ لاگ نصب درایور |
بررسی دقیق Windows Event Logs و ابزار SIEM |
|
کنترل تغییرات تاریخ سیستم |
جلوگیری از تنظیم تاریخ به گذشته با ابزارهای سختگیرانه |
|
استفاده از EDR با محافظت Kernel-level |
برخی EDRها، ماژولهایی با محافظت سطح کرنل دارند |
|
Patch Management قوی |
بهروزرسانی و حذف درایورهای آسیبپذیر موجود در سیستمها |
🔸 نکته کلیدی برای مدیران امنیت:
صرف داشتن EDR کافی نیست؛ لازم است سیاستهای سختگیرانه نصب درایور و نظارت مداوم بر لاگها را به بخشی از استراتژی امنیت سازمانی تبدیل کنید.
✅ جمعبندی:
تکنیک BYOVD یکی از خطرناکترین روشهای دور زدن EDR است که به مهاجم دسترسی کامل کرنل میدهد و میتواند هر ابزار امنیتی را غیرفعال کند.
تنها راه مقابله با آن، ترکیبی از این موارد است:
✔️ سیاستهای سختگیرانه نصب درایور
✔️ استفاده از EDRهای نسل جدید با Kernel Protection
✔️ مانیتورینگ مداوم تغییرات سیستم
در بخش بعدی سری مقالات "تحلیل تکنیکهای دور زدن EDR توسط بدافزارها" ، به تکنیک تزریق در حافظه و حملات Fileless میپردازیم؛ یکی از پیچیدهترین و رایجترین روشهای EDR Evasion .
مطالعه بخش سوم: حملات Fileless و تزریق در حافظه؛ دشمن مخفی EDRها
