儘管某個取證工具的 Windows 核心驅動程式的數位憑證在十多年前就被撤銷了，但威脅行為者仍然利用該驅動程式來破壞安全性產品，Huntress 的安全研究人員週三在一篇部落格文章中詳細介紹了該公司如何應對本月初發生的一起入侵事件。在該事件中，攻擊者利用被盜的SonicWall SSL VPN憑證首次存取了受害者的網路。但真正令人震驚的是攻擊者如何逃避檢測：他們利用名為 EnCase 的合法取證工具集的 Windows 核心驅動程序，禁用了整個網路中的安全產品。

這種攻擊技術被稱為「自帶漏洞驅動程式」（BYOVD），它利用驅動程式的提升權限和核心級存取權限，在入侵被偵測到之前終止安全進程。攻擊者越來越多地使用驅動程式來停用端點偵測與回應（EDR）平台，尤其是在勒索軟體攻擊中；這些工具通常被稱為「EDR殺手」。 

EnCase 的問題在於，這款由 Guardian Software 開發、最初發佈於 1998 年的驅動程式年代久遠，且缺乏有效的數位簽章。Huntress 的 Anna Pham 和 Dray Agha 在部落格中寫道：EnCase 驅動程式的憑證已於 2010 年過期並被吊銷，但 Windows 仍然會加載它，這是驅動程式簽章強制執行機制中的一個漏洞，攻擊者仍在利用這一漏洞。諷刺的是，EnCase 驅動程式的年代久遠反而給了攻擊者很大的優勢。

驅動程式越多，EDR問題越多

驅動程式簽章強制執行是 Windows 的安全功能，最早在 Vista 系統中引入，它要求核心驅動程式必須由受信任的憑證授權單位(CA)簽署。此功能旨在防止作業系統載入未經簽署或修改的驅動程式。

但正如 Pham 和 Agha 在部落格文章中指出的那樣，這項功能存在嚴重的安全漏洞。首先，Windows 不會檢查憑證授權單位 (CA) 的憑證撤銷清單(CRL) 來驗證簽章是否仍然有效。這種限制是出於實際原因：驅動程式在啟動過程早期加載，此時網路服務尚未可用，而 CRL 檢查會顯著影響啟動效能。

同樣，微軟在 Windows 10 中引入了一項策略，要求新的核心驅動程式必須透過其硬體開發中心進行簽署。但為了確保向後相容性，微軟允許加載使用 2015 年 7 月 29 日之前頒發的證書簽名的驅動程序，前提是這些證書連結到受支援的交叉簽名 CA。

因此，即使驅動程式的憑證已經過期或被撤銷，使用舊憑證的驅動程式仍然可以在 Windows 系統中載入。這使得 2015 年之前簽署的驅動程式對攻擊者來說極具價值，因為它們繞過了現代簽名要求，攻擊者無需將驅動程式提交給微軟進行驗證。

攻擊者會專門針對較舊的驅動程式使用 EDR 殺手，Pham 表示，如果找不到這些舊驅動程序，他們還會從另一個角度利用漏洞，使用HookSignTool等開源工具偽造較新的惡意驅動程式的時間戳，使其看起來像是在 2015 年 7 月 29 日之前簽署的。

不幸的是，目前還沒有簡單的辦法來阻止 BYOVD 攻擊。專家表示，阻止合法驅動程式會對系統造成負面影響，甚至導致系統崩潰。 Pham 指出，微軟或許可以縮小 2015 年 7 月 29 日的例外範圍，但這最終可能會導致依賴該例外的合法舊版軟體無法正常運作。Pham 表示，其他選項包括快取 CRL 驗證或啟動後驗證，但這些緩解措施的效果如何尚不清楚。

如何制止 EDR 殺手

幸運的是，這次入侵在攻擊者將勒索軟體部署到受害者網路之前就被阻止了，這也讓Huntress的研究人員有機會剖析這次攻擊並分析攻擊者的工具。

在此次入侵中，攻擊者使用的EDR殺手是一個64位元Windows可執行文件，其中包含EnCase驅動程序，並偽裝成合法的韌體更新工具。該工具還採用了一種有趣的混淆技術：開發者沒有對程式碼進行加密，而是使用了一種基於自訂單字清單的替換密碼，將驅動程式的每個位元組轉換為一個英文單字。

Pham 和 Agha 寫道：這種技術尤其能夠有效地規避靜態分析工具，因為編碼後的有效載荷看起來只不過是散佈在二進制數據部分中的無害英文文本。該二進位檔案還包含一份針對主要網路安全廠商（包括微軟、CrowdStrike、SentinelOne、卡巴斯基、Sophos 和 ESET）的 59 個目標流程清單。但有一個明顯的缺失。

Huntress建議採取多項緩解措施來防止類似攻擊，首先是強制VPN帳戶啟用多因素身份驗證（MFA），該公司還建議各組織審查VPN日誌，以發現可疑模式。為了防禦 BYOVD 攻擊，Huntress 敦促各組織透過 Windows Defender 應用程式控制 (WDAC) 實施 Microsoft建議的驅動程式封鎖規則，並在 Windows 中啟用 Hypervisor 保護的程式碼完整性 (HVCI)，以確保強制執行 Microsoft 的易受攻擊驅動程式封鎖清單。

資料來源：https://www.darkreading.com/threat-intelligence/encase-driver-weaponized-edr-killers-persist