關閉選單
「紳士」勒索軟體利用易受攻擊的驅動程式破壞安全設備
報導摘要

勒索軟體團伙不斷進化其攻擊策略,以規避傳統資安防護措施。在本週稍早發布的一篇部落格文章中,趨勢科技的研究人員詳細介紹了今年夏天首次發現的「紳士」勒索軟體犯罪集團的策略、技術和程序 (TTP)。趨勢科技發現勒索軟體利用合法的易受攻擊驅動程式 ThrottleStop.sys 來終止防毒軟體 (AV) 程式和其他安全產品(例如擴展偵測和回應(EDR) 平台)的進程。這種攻擊是透過所謂的「自帶易受攻擊驅動程式」攻擊實現的,威脅行為者利用驅動程式的核心級存取權限來操縱甚至終止原本受保護的進程。這種手法不僅展現了攻擊者的高度隱蔽性,也凸顯了傳統端點安全防護面臨的挑戰,因為攻擊是透過看似無害的合法驅動程式來進行。


技術分析

紳士勒索軟體採用的「自帶易受攻擊驅動程式」(Bring Your Own Vulnerable Driver, BYOVD)攻擊模式,是一種高度複雜的攻擊手段。攻擊者並非自行開發惡意驅動程式,而是利用已簽署的、存在已知漏洞的合法驅動程式。ThrottleStop.sys 驅動程式雖然用於管理處理器性能,但其漏洞卻能被惡意利用,使攻擊者在系統核心模式(ring 0)下執行任意程式碼。一旦取得核心權限,攻擊者便能輕易繞過操作系統的安全機制,終止或篡改受保護的資安軟體進程。這種方法使勒索軟體得以在受害系統上暢行無阻,為後續的資料加密與勒索行為鋪平道路。這種攻擊模式難以被傳統的檔案掃描或行為分析所偵測,因為攻擊的啟動部分是合法的驅動程式,而非惡意軟體。


威脅行為者策略

「紳士」勒索軟體團伙的策略是針對企業網路進行精準攻擊。他們的首要目標是癱瘓受害者的安全防禦,確保勒索軟體可以成功部署。透過利用合法驅動程式的漏洞,他們成功規避了許多端點安全解決方案,特別是那些依賴於簽章比對或傳統行為分析的產品。在終止安全軟體後,攻擊者會進行橫向移動,尋找高價值目標,例如檔案伺服器、資料庫和備份系統,並對其進行加密。這種多階段的攻擊模式,從初期滲透、權限提升到最終的資料加密,顯示出攻擊者對目標環境的深入了解,以及高度的組織紀律性。他們不僅追求金錢利益,更試圖在最短時間內造成最大程度的損害,迫使受害者支付高額贖金。


防禦與應對措施

為了有效抵禦類似「紳士」勒索軟體的威脅,企業需採取多層次的安全防護策略。首先,應定期進行資產盤點與漏洞管理,確保所有驅動程式和應用程式都處於最新狀態,並修補已知漏洞。其次,部署具備強大行為分析和異常檢測能力的擴展偵測與回應(XDR)平台,以監控核心層級的異常行為,即使是合法驅動程式的惡意使用也能被及時發現。此外,實施嚴格的應用程式白名單政策,限制非授權的驅動程式在系統上執行,也能有效降低被BYOVD攻擊的風險。最後,建立完善的事件應變計畫,並定期進行備份與災難復原演練,確保在遭受勒索軟體攻擊時,能迅速恢復業務運營並將損失降至最低。


結論

「紳士」勒索軟體的出現,再次證明了網路威脅的不斷演變。攻擊者不再僅僅依賴惡意軟體本身,而是轉向利用合法工具和驅動程式的漏洞來繞過防禦。這場攻防戰的未來,將不再是單純地阻止已知惡意軟體,而是需要更深層次地監控系統行為,預測和防禦未知的攻擊模式。企業和個人都必須提高警覺,強化資安意識,並採用更先進的防禦技術,才能在日益嚴峻的網路安全環境中保護自身資產。


資料來源:https://www.darkreading.com/vulnerabilities-threats/gentlemen-ransomware-vulnerable-driver-security-gear
解析「紳士」勒索軟體如何利用趨勢科技揭露的合法驅動程式ThrottleStop.sys,發動「自帶易受攻擊驅動程式」(BYOVD)攻擊,以繞過防毒與EDR等端點安全防護。內容包含其攻擊策略、技術分析與企業應對措施,助您全面了解並強化資安防禦。