在推上看到可以用HVCIDisallowedImages阻止驱动加载

显示全部楼层 · 发表于 2024-8-12 20:21:29

wwwab 发表于 2024-8-12 12:10
不啊，就比如说你加载的驱动文件名固定叫test.sys，加载地址固定在drivers底下，服务名固定叫test

第1 ...

这个主要是用来从三环敲掉零环的杀软EDR之类的，一般没有释放这个过程

显示全部楼层 · 发表于 2024-8-12 20:41:00

wwwab 发表于 2024-8-12 20:10
不啊，就比如说你加载的驱动文件名固定叫test.sys，加载地址固定在drivers底下，服务名固定叫test

第1 ...

这几种情况也还是先手破坏啊

显示全部楼层 · 发表于 2024-8-12 20:58:17

这个手段要是普及了，以后的EDR估计得全部上随机名驱动，至少驱动加载失败后，就要尝试随机名加载

显示全部楼层 · 发表于 2024-8-12 22:12:24

提示: 该帖被管理员或版主屏蔽

显示全部楼层 · 发表于 2024-8-12 22:54:32

这个挺可怕的，如果被黑子利用，来阻止安全软件的驱动加载，基本上没有HIPS的都要死一大片了，毕竟利用的是HVCI，除非保护CI位置，不然真的要死一堆安全软件的驱动了

显示全部楼层 · 发表于 2024-8-12 23:15:46

本帖最后由 00006666 于 2024-8-12 23:18 编辑

驭龙发表于 2024-8-12 22:54
这个挺可怕的，如果被黑子利用，来阻止安全软件的驱动加载，基本上没有HIPS的都要死一大片了，毕竟利用的是 ...

这个只能按名字拦截，EDR厂家只要尝试随机名加载不就能绕了…，或者就像国内几个杀软一样，驱动加载失败就让用特殊工具处理，比如火绒专杀/360急救箱/奇安信专杀之类的，这些工具全部是随机名驱动

显示全部楼层 · 发表于 2024-8-12 23:30:23

驱动加载失败其实都对EDR来说非常明显了，一个明显的环境异常，可以直接跟控制台告警了。比如那些干回调干钩子的都是试图无告警致盲EDR，比这种方式要隐蔽很多。

显示全部楼层 · 发表于 2024-8-12 23:31:08

00006666 发表于 2024-8-12 23:15
这个只能按名字拦截，EDR厂家只要尝试随机名加载不就能绕了…，或者就像国内几个杀软一样，驱动加载失败 ...

MSE刚刚诞生的时候ARK驱动就使用了随机驱动，现在引导时移除威胁的驱动也是随机驱动名，好像比你说的专杀工具更简单？毕竟连下载都不需要

显示全部楼层 · 发表于 2024-8-12 23:34:13

驭龙发表于 2024-8-12 23:31
MSE刚刚诞生的时候ARK驱动就使用了随机驱动，现在引导时移除威胁的驱动也是随机驱动名，好像比你说的专杀 ...

不过这种驱动加载失败，正常的EDR应该都要告警的，这是明显的防护失效，就跟用UAC拦截EDR进程一样了

显示全部楼层 · 发表于 2024-8-12 23:36:32

00006666 发表于 2024-8-12 23:34
不过这种驱动加载失败，正常的EDR应该都要告警的，这是明显的防护失效，就跟用UAC拦截EDR进程一样了

EDR的日志确实是啥都记录，我就感觉已经赤裸裸的被监控了，电脑一切操作都被云端记录，我也有点不适应

[其他相关] 在推上看到可以用HVCIDisallowedImages阻止驱动加载