BYOVD(自帶易受攻擊驅動程式)攻擊的出現凸顯了合法簽章驅動程式中存在的一個令人擔憂的漏洞。這種攻擊方式使網路犯罪分子能夠在核心層級執行程式碼,逃避 Microsoft Defender 的偵測,並隨後部署勒索軟體。為了保護您的系統,請務必實施本指南中概述的保護措施。
了解 BYOVD 攻擊及其對 Microsoft Defender 的影響
BYOVD 攻擊主要利用rwdrv.sys驅動程式。該驅動程式通常與 Throttlestop 或各種風扇控制軟體等合法應用程式關聯,但攻擊者可以利用該驅動程式來取得未經授權的核心存取權限。攻擊流程如下:
- 攻擊者通常透過網路攻擊或使用遠端存取木馬 (RAT) 來入侵目標 PC。
- 一旦存取得到安全保護,他們就會安裝受信任的rwdrv.sys驅動程式。
- 該驅動程式被利用來獲取提升的權限,從而允許安裝惡意的hlpdrv.sys驅動程式。
- 然後, hlpdrv.sys驅動程式會改變 Windows 註冊表設置,從而有效地停用 Microsoft Defender 的保護功能。
- 繞過這些防禦措施後,攻擊者可以自由安裝勒索軟體或從事其他惡意活動。
目前,Akira 勒索軟體已被證實與這些攻擊有關。然而,由於 Microsoft Defender 失效,攻擊者可以執行各種惡意操作。保持警惕並遵循以下預防措施至關重要。
增強 Windows 安全功能
即使 Microsoft Defender 被入侵,Windows 的安全功能也能有效阻止此類攻擊。為了增強防禦能力,請在開始功能表中搜尋“Windows 安全中心”,並啟動以下可能預設為停用的安全選項:
- 受控資料夾存取:即使 Defender 處於離線狀態,此功能也能防禦勒索軟體威脅。請前往「病毒和威脅防護」 → “管理設定” → “管理受控資料夾存取”,然後切換選項以啟用此功能。您也可以指定特定資料夾,以增強對勒索軟體攻擊的防護。
- 核心隔離功能:啟用這些功能可以防止安裝易受攻擊的驅動程式並阻止有害程式碼的執行。確保這些設定處於活動狀態可以顯著增強系統的安全性,甚至可能在 BYOVD 攻擊滲透之前將其阻止。請前往「設備安全」並存取「核心隔離詳細資訊」。建議在此處啟用所有功能;但請注意,啟用記憶體完整性可能需要對驅動程式進行額外的調整。
刪除不必要的核心級實用程式
建議謹慎使用在核心層級運行的實用工具,因為許多工具都使用了rwdrv.sys驅動程式。如果系統中已存在此驅動程序,攻擊者無需額外安裝,從而簡化了攻擊過程。這些已安裝的驅動程式在最近的攻擊中已被利用。如果您不需要這些實用工具,請考慮停止使用,尤其是像 Throttlestop 或 RWEverything 這樣會安裝rwdrv.sys 的程式。
若要檢查rwdrv.sys是否已安裝,請在 Windows 搜尋中輸入“cmd”,右鍵點選“命令提示字元”,然後選擇“以管理員身份執行”。執行該指令進行掃描。如果輸出顯示rwdrv.syswhere /r C:\ rwdrv.sys存在,請識別並卸載負責安裝該程式的應用程式。
使用標準使用者帳戶進行日常操作
為了更好地防禦 BYOVD 等威脅,建議日常操作時使用標準帳戶而非管理員帳戶。此策略尤其重要,因為攻擊會利用管理員權限來安裝或利用易受攻擊的驅動程式。
使用標準帳戶進行操作,駭客將難以對系統實施高級更改,從而阻止攻擊的進展。如果發生入侵嘗試,您將收到有關該操作的通知。若要建立新的標準帳戶,請導覽至 Windows設置,選擇帳戶→其他使用者→新增帳戶,然後依照指示設定具有標準權限的新帳戶。
探索替代防毒解決方案
這次攻擊旨在停用 Microsoft Defender 的防護功能;然而,它對第三方防毒軟體的防護效果較差。這些應用程式採用多種方法來管理其防護功能,這使得像 BYOVD 這樣的攻擊難以統一地取得成功。
為了增強安全性,請考慮安裝具有即時掃描功能的信譽良好的免費防毒程序,例如Avast或AVG Antivirus。
GuidePoint 和卡巴斯基等機構的安全研究人員已經追蹤到rwdrv.sys在與 Akira 勒索軟體相關的 BYOVD 攻擊中的使用情況,並發布了攻擊指標 (IoC)。我們期待微軟能夠盡快推出解決方案來修復此漏洞,但請保持積極主動,啟動所有可用的 Windows 安全功能,尤其是 Microsoft Defender 的高級功能。
發佈留言