据卡巴斯基专家称,攻击者越来越多地通过利用易受攻击的驱动程序来瞄准 Windows。2024 年第二季度,与第一季度相比,使用这种技术攻击的系统数量增加了近 23%。易受攻击的驱动程序可能被用于各种攻击,包括勒索软件和高级持续性威胁 (APT)。
网络攻击 利用易受攻击的驱动程序称为 BYOVD(自带易受攻击的 驱动程序)。它们允许威胁行为者尝试在 系统并提升权限,使他们能够执行各种恶意 活动,例如安装勒索软件或为 间谍活动或破坏活动,特别是高级持续威胁 (APT) group 是攻击的幕后黑手。
卡巴斯基 报告称,这种攻击技术在 2023 年加速,目前正在获得 势头,对个人和组织都有潜在影响。第 2 季度 2024 年,使用 BYOVD 技术攻击的系统数量增加了近 与上一季度相比增长 23%。
动态 利用易受攻击的驱动程序的攻击
“虽然 驱动程序本身是合法的,它们可能包含漏洞。这些 然后,漏洞可以被用于恶意目的。犯罪者使用 在系统上安装易受攻击的驱动程序的各种工具和方法。一次 操作系统加载此驱动程序,攻击者可以利用它来 为了自己的目标绕过操作系统内核安全边界,“解释道 Vladimir Kuskov,卡巴斯基反恶意软件研究主管。
一个令人担忧 这一趋势的方面是利用弱势群体的工具激增 司机 – 他们可以在网上找到。虽然这些工具相对较少 2024 年 – 自 2021 年以来仅发布了 24 个项目 – 卡巴斯基专家 观察到上次在线发布的这些工具的数量有所增加 年。“尽管没有什么能真正阻止威胁行为者开发自己的 私有工具,公开可用的工具消除了对特定 研究和利用易受攻击的驾驶员所需的技能。仅在 2023 年,我们 确定了大约 16 种此类性质的新工具,标志着 比我们前几年观察到的一两个有所增加。鉴于此 rise,强烈建议对任何 系统“,Vladimir Kuskov 解释道。
应对与易受攻击的驱动程序相关的威胁 利用,以下措施有效:
- 全面了解您的基础架构 监控其资产,重点关注周边。
- 为了保护公司免受各种 威胁,使用卡巴斯基Next产品线。它 提供实时保护、威胁监控、调查和响应 EDR 和 XDR 的功能也适用于任何规模和行业的组织 作为保护系统免受易受攻击的驾驶员剥削。
- 实施补丁管理流程以检测 基础设施中的易受攻击的软件,并及时安装安全性 补丁。KES和 Kaspersky 等解决方案漏洞数据馈送可以提供帮助 方面。
- 定期进行安全评估,以便在漏洞成为入口点之前识别和修补漏洞 对于攻击者。
发表于 2024-9-19 22:59:52
