一项针对端点检测与响应（EDR）攻击工具的最新分析显示，54种此类工具利用了"自带漏洞驱动程序"（BYOVD）技术，共滥用了34个存在漏洞的签名驱动程序。

EDR攻击工具已成为勒索软件攻击中的常见组件，为攻击者在部署文件加密恶意软件之前提供了中和安全软件的途径，以此来规避检测。

ESET研究员雅库布·苏切克在报告中指出："勒索软件团伙，特别是那些运营勒索软件即服务（RaaS）项目的团伙，经常制作新版本的加密程序，确保每个新版本都能可靠地逃避检测是非常耗时的。更重要的是，加密程序本身就很容易被发现，因为它们需要在短时间内修改大量文件，使此类恶意软件不被检测相当具有挑战性。"

EDR攻击工具作为专门的外部组件，在执行加密程序之前运行以禁用安全控制，从而保持加密程序的简单、稳定和易于重建。不过也有将EDR终止和勒索软件模块融合到单一二进制文件的情况，雷诺兹勒索软件就是一个典型例子。

大多数EDR攻击工具依赖合法但存在漏洞的驱动程序来获取提升的权限并实现其目标。在这家斯洛伐克网络安全公司检测到的近90种EDR攻击工具中，超过一半利用了著名的BYOVD策略，因为这种方法非常可靠。

比特梵德解释说："BYOVD攻击的目标是获得内核模式权限，通常称为Ring 0。在此级别，代码可以不受限制地访问系统内存和硬件。由于攻击者无法加载未签名的恶意驱动程序，他们会'携带'一个由知名供应商签名的驱动程序，该驱动程序存在已知漏洞。"

有了内核访问权限，威胁行为者可以终止EDR进程、禁用安全工具、篡改内核回调并破坏端点保护。结果就是滥用微软的驱动程序信任模型来规避防御，利用了漏洞驱动程序合法且经过签名这一事实。

基于BYOVD的EDR攻击工具主要由三类威胁行为者开发：

不依赖下级成员的封闭式勒索软件组织，如DeadLock和Warlock

分叉和调整现有概念验证代码的攻击者，例如SmilingKiller和TfSysMon-Killer

在地下市场将此类工具作为服务进行营销的网络犯罪分子，例如DemoKiller（又名Бафомет）、ABYSSWORKER和CardSpaceKiller

ESET表示还发现了基于脚本的工具，这些工具使用内置的管理命令，如taskkill、net stop或scdelete来干扰安全产品进程和服务的正常功能。某些变种还被发现将脚本与Windows安全模式相结合。

该公司指出："由于安全模式只加载操作系统的最小子集，通常不包括安全解决方案，恶意软件有更高的机会禁用保护。同时，这种活动非常明显，因为需要重启，在未知环境中风险很大且不可靠。因此，在实际攻击中很少见到。"

第三类EDR攻击工具是反rootkit工具，包括GMER、HRSword和PC Hunter等合法实用程序，它们提供直观的用户界面来终止受保护的进程或服务。第四类新兴的是一套无驱动程序的EDR攻击工具，如EDRSilencer和EDR-Freeze，它们阻止EDR解决方案的出站流量，使程序进入类似"昏迷"的状态。

ESET表示："攻击者并没有投入太多精力使其加密程序不被检测。相反，所有复杂的防御规避技术都转移到了EDR攻击工具的用户模式组件上。这种趋势在商业EDR攻击工具中最为明显，这些工具通常具有成熟的反分析和反检测能力。"

为了对抗勒索软件和EDR攻击工具，阻止常被滥用的驱动程序加载是必要的防御机制。然而，考虑到EDR攻击工具只在最后阶段、启动加密程序之前执行，在这个阶段的失败意味着威胁行为者可以轻易切换到另一个工具来完成相同的任务。

这意味着组织需要建立分层防御和检测策略，在攻击生命周期的每个阶段主动监控、标记、遏制和修复威胁。

ESET表示："EDR攻击工具之所以持续存在，是因为它们廉价、一致且与加密程序分离——这对于加密程序开发者（无需专注于使其加密程序不被检测）和下级成员（拥有易于使用的强大实用程序在加密前破坏防御）来说都是完美的选择。"

Q&A

Q1：BYOVD攻击技术是什么原理？

A：BYOVD（自带漏洞驱动程序）攻击的目标是获得内核模式权限（Ring 0级别）。由于攻击者无法加载未签名的恶意驱动程序，他们会携带一个由知名供应商签名但存在已知漏洞的合法驱动程序，利用其漏洞获取系统最高权限。

Q2：EDR攻击工具主要由哪些威胁行为者开发？

A：主要有三类开发者：一是DeadLock和Warlock等不依赖下级成员的封闭式勒索软件组织；二是分叉和调整现有概念验证代码的攻击者；三是在地下市场将此类工具作为服务进行营销的网络犯罪分子。

Q3：如何有效防护EDR攻击工具？

A：组织需要建立分层防御策略，包括阻止常被滥用的驱动程序加载，在攻击生命周期的每个阶段主动监控、标记、遏制和修复威胁。由于EDR攻击工具在最后阶段执行，单一防御措施失效时攻击者容易切换工具，因此需要多重防护。