持续演进的银狐——不断增加脆弱驱动通过BYOVD结束防病毒软件 (附CVE-2025-70795)

wwwab

DeepSeek 发表于 2026-2-12 00:39
分析得非常厉害。
注入svchost是不是被拦截掉了，正常注入后是否还有其他动作？记得之前的银狐注入到svcho ...

这些都叫银狐，又不是同一批人的银狐。
那我说之前有银狐还会利用AutoHotkey v2.0+脚本解释器，又不是同一家的银狐。

superLYT

支持精品文章

网名丢失

除了冰盾，其他杀软防得住吗

wwwab

Update:
我们找到了STProcessMonitor的新驱动 (SHA256: 5B4F59236A9B950BCD5191B35D19125F60CFB9E1A1E1AA2E4F914B6745DDE9DF)与旧版驱动对比后可以发现，其创建了一个ACL，给SeAliasAdminsSid降权，只允许SeLocalSystemSid执行高权限操作




工作原理和旧版完全一样——唯一的区别是现在需要SYSTEM令牌。
该新驱动其实也能利用，不过需要调用者提权至NT AUTHORITY\SYSTEM令牌——获得NT AUTHORITY\SYSTEM令牌后才可执行高权限操作，在一定程度上增大了利用难度，但如果恶意行为者通过其他方式在用户层提权至SYSTEM权限，取得NT AUTHORITY\SYSTEM令牌，则仍然可以被用来结束没有受PPL保护的防病毒产品进程。
提权至SYSTEM令牌后，发送IOCTL 0xB822A00C，就可以利用了：

aikafans

只能说黑产也在持续技术进步

wowocock

wwwab 发表于 2026-2-12 16:06
Update:
我们找到了STProcessMonitor的新驱动 (SHA256: 5B4F59236A9B950BCD5191B35D19125F60CFB9E1A1E1AA ...

前提是要提升到system权限，这已经可以阻挡大部分脚本小子了。当然其实最好是在驱动中任何杀进程，删文件等操作前都验证当前进程和目标对象之间是否可行该操作，也就是说你需要再自己实现微软那一套，谁有什么权限，对谁做什么操作。但那太麻烦了，现在一般是进程自己整个签名，只有通过自身签名验证的程序才可以和自己的驱动交互。

ANY.LNK

ANY.LNK 发表于 2026-2-11 21:55
之前在VT上的样本集中见到这个驱动只道是Process Monitor的旧漏洞驱动，没想到是个新的
（过个几天我写个P ...

OK写好了
https://github.com/ANYLNK/STProcessMonitorBYOVD
顺带加上了对新驱动的自动提权+利用

ANY.LNK

看到了另一个CVE编号：CVE-2026-0828，看描述和PoC，似乎说的是同一件事（同一个漏洞）？

wwwab

ANY.LNK 发表于 2026-2-15 05:04
OK写好了
https://github.com/ANYLNK/STProcessMonitorBYOVD
顺带加上了对新驱动的自动提权+利用

我已经写好了
https://github.com/BlackSnufkin/BYOVD/tree/main/STProcessMonitor-Killer
https://github.com/wwwab123/BYOVD/tree/main/STProcessMonitor-Killer



哦，你这个可以自动化提权到NT Authority/SYSTEM令牌 然后利用新驱动吗，那确实更强大

wwwab

ANY.LNK 发表于 2026-2-15 06:02
看到了另一个CVE编号：CVE-2026-0828，看描述和PoC，似乎说的是同一件事（同一个漏洞）？

好家伙
看了下，CVE-2025-70795和CVE-2026-0828目前都处于Reserved状态
我提交的编号比较早，没准保留我的
看看到时候MITRE/CNA如何处理