
BYOVD(自带易受攻击驱动程序)攻击的出现凸显了合法签名驱动程序中存在的一个令人担忧的漏洞。这种攻击方式使网络犯罪分子能够在内核级别执行代码,逃避 Microsoft Defender 的检测,并随后部署勒索软件。为了保护您的系统,请务必实施本指南中概述的保护措施。
了解 BYOVD 攻击及其对 Microsoft Defender 的影响
BYOVD 攻击主要利用rwdrv.sys驱动程序。该驱动程序通常与 Throttlestop 或各种风扇控制软件等合法应用程序关联,但攻击者可以利用该驱动程序获取未经授权的内核访问权限。攻击流程如下:
- 攻击者通常通过网络攻击或使用远程访问木马 (RAT) 来入侵目标 PC。
- 一旦访问得到安全保护,他们就会安装受信任的rwdrv.sys驱动程序。
- 该驱动程序被利用来获取提升的权限,从而允许安装恶意的hlpdrv.sys驱动程序。
- 然后, hlpdrv.sys驱动程序会改变 Windows 注册表设置,从而有效地禁用 Microsoft Defender 的保护功能。
- 绕过这些防御措施后,攻击者可以自由安装勒索软件或从事其他恶意活动。
目前,Akira 勒索软件已被证实与这些攻击有关。然而,由于 Microsoft Defender 失效,攻击者可以执行各种恶意操作。保持警惕并遵循以下预防措施至关重要。
增强 Windows 安全功能
即使 Microsoft Defender 被入侵,Windows 的安全功能也能有效阻止此类攻击。为了增强防御能力,请在开始菜单中搜索“Windows 安全中心”,并激活以下可能默认禁用的安全选项:
- 受控文件夹访问:即使 Defender 处于离线状态,此功能也能防御勒索软件威胁。请前往“病毒和威胁防护” → “管理设置” → “管理受控文件夹访问”,然后切换选项以启用此功能。您还可以指定特定文件夹,以增强对勒索软件攻击的防护。

- 核心隔离功能:启用这些功能可以防止安装易受攻击的驱动程序并阻止有害代码的执行。确保这些设置处于活动状态可以显著增强系统的安全性,甚至可能在 BYOVD 攻击渗透之前将其阻止。请前往“设备安全”并访问“核心隔离详细信息”。建议在此处启用所有功能;但请注意,启用内存完整性可能需要对驱动程序进行额外的调整。

删除不必要的内核级实用程序
建议谨慎使用在内核级别运行的实用工具,因为许多工具都使用了rwdrv.sys驱动程序。如果系统中已存在此驱动程序,攻击者无需额外安装,从而简化了攻击过程。这些已安装的驱动程序在最近的攻击中已被利用。如果您不需要这些实用工具,请考虑停止使用,尤其是像 Throttlestop 或 RWEverything 这样会安装rwdrv.sys 的程序。
要检查rwdrv.sys是否已安装,请在 Windows 搜索中输入“cmd”,右键单击“命令提示符”,然后选择“以管理员身份运行”。执行该命令进行扫描。如果输出显示rwdrv.syswhere /r C:\ rwdrv.sys
存在,请识别并卸载负责安装该程序的应用程序。

使用标准用户帐户进行日常操作
为了更好地防御 BYOVD 等威胁,建议日常操作时使用标准账户而非管理员账户。此策略尤其重要,因为攻击会利用管理员权限来安装或利用易受攻击的驱动程序。
使用标准帐户进行操作,黑客将难以对系统实施高级更改,从而阻止攻击的推进。如果发生入侵尝试,您将收到有关该操作的通知。要创建新的标准帐户,请导航至 Windows设置,选择帐户→其他用户→添加帐户,然后按照提示设置具有标准权限的新帐户。

探索替代防病毒解决方案
此次攻击旨在禁用 Microsoft Defender 的防护功能;然而,它对第三方杀毒软件的防护效果较差。这些应用程序采用多种方法来管理其防护功能,这使得像 BYOVD 这样的攻击难以统一地取得成功。
为了增强安全性,请考虑安装具有实时扫描功能的信誉良好的免费防病毒程序,例如Avast或AVG Antivirus。
GuidePoint 和卡巴斯基等机构的安全研究人员已经追踪到rwdrv.sys在与 Akira 勒索软件相关的 BYOVD 攻击中的使用情况,并发布了攻击指标 (IoC)。我们期待微软能够尽快推出解决方案来修复此漏洞,但请保持积极主动,激活所有可用的 Windows 安全功能,尤其是 Microsoft Defender 的高级功能。
发表回复