在网络安全领域,攻击者不断寻找绕过防护机制的新路径,合法的软件和驱动程序也被不法分子利用以实施复杂的攻击。近年来,一种名为BYOVD(Bring Your Own Vulnerable Driver,带入自己的易受攻击驱动)的攻击方式引起了广泛关注。攻击者通过加载存在已知漏洞的正规驱动,借助其特权执行恶意代码,从而绕过安全防护,尤其针对杀毒软件展开破坏。本篇内容聚焦于一起真实案例,详细解析一款名为ThrottleStop.sys的合法Windows驱动如何被黑客滥用,成为瘫痪杀毒程序的重要工具,带来极具威胁性的安全隐患。 ThrottleStop.sys原本是由TechPowerUp公司开发的一款驱动,专为优化和调整CPU性能而设计,主要服务于游戏玩家。该驱动获得了有效的数字签名,显示其合法性无可置疑。
但"合法驱动"的质地并未阻止它落入黑客手中。攻击者将该驱动重新命名为ThrottleBlood.sys,配合一款名为All.exe的杀毒软件终结程序,在目标系统中悄然植入攻击代码,利用驱动中存在的漏洞实施内核级别的进程终结。 该驱动的核心漏洞源自其暴露了两个IOCTL(输入输出控制)接口,任意具有管理员权限的用户都能够通过这些接口直接读写物理内存。这种设计缺陷导致内核内存保护机制被绕过,攻击者利用它以物理地址映射方式读取和修改内核内存数据。更具体来说,驱动利用MmMapIoSpace函数实现对物理内存的映射,使恶意程序能够绕开操作系统对内核代码的保护,直接仿写或覆盖关键的系统函数,使得杀毒软件无法正常运行或防护。 黑客通过加载ThrottleBlood.sys驱动,使用该驱动的内存访问能力,将恶意shellcode注入内核空间,并重写如PsLookupProcessById和PsTerminateProcess等关键内核函数。
这些函数控制着进程的查找与终止操作,通过劫持它们,恶意程序能够有选择地完全终结主流杀毒产品的核心进程,例如Windows Defender、卡巴斯基、McAfee、Symantec、Sophos等,摧毁系统防御的根基。 恶意程序首先利用Windows原生的服务控制管理API(如OpenSCManagerA和StartServiceW)加载并启动驱动。在获取内核基地址后,结合KASLR(内核地址空间布局随机化)绕过技术,攻击者计算出关键函数物理地址,完成内存映射和代码注入操作。成功注入后,程序遍历系统当前运行的进程列表,通过与预先定义的杀毒进程名称清单匹配,发现目标后立即调用被劫持的内核函数实行终止操作。 该攻击手法的隐匿性强,攻击过程中并非传统的内核钩子(Hook)技术,而是直接操作物理内存,相较于类似KPP(内核补丁保护)的完整性检查机制,造成检测难度大幅提升。即使是Windows Defender这样的自我防护能力较强的安全产品,也难以完全阻止驱动被加载及其对关键进程的终结尝试。
虽然Windows Defender会自动尝试重启被终结的服务,但恶意程序的持续监控与终结循环使其防护形同虚设。 值得注意的是,此次真实攻击案例中,黑客首先通过有效的远程桌面协议(RDP)管理账户凭证进入受害组织的邮件服务器。利用口令提取工具Mimikatz,成功窃取多个用户的NTLM哈希值,继而借助PowerShell脚本实施横向移动,最终铺开攻击链。恶意软件和该驱动均被上传至目标系统特定文件夹,随后在网络多个终端扩散。 此次攻击事件再次警示企业必须强化安全基线。首先,远程访问必须严格限制,不应直接开放至公网上,W强制使用多因素认证和复杂密码策略。
其次,系统应部署基于信任的应用白名单机制,避免任何未经授权的驱动或二进制文件加载。网络层面的分段隔离有效遏制攻击蔓延,辅助实时监控与快速响应的端点检测与响应(EDR)解决方案不可或缺。此外,安全团队应持续关注操作系统和驱动程序的漏洞公告,及时应用补丁,消除易被攻破的入口。 法律认可的驱动成为绕过安全机制的攻击载体,这种"带入自己易受攻击的驱动"行为挑战了传统的防护思路。从技术角度来看,固化驱动漏洞修复和应用行为检测成为防御重点。在组织内部,强化帐户管理和监测异常访问行为,是防止攻击的有效手段。
这起事件还强调了防御纵深的重要性,单靠终端杀毒已难抵御高级威胁。应将身份验证、访问控制、流量监控、系统加固以及安全审计深度融合,形成多层立体防御体系。通过全面的风险识别与防范,才能从根本上制止恶意攻击行为。 总之,黑客利用合法驱动实现内核级操作的攻击手法日渐成熟,严重威胁企业安全。只有不断提升安全策略的严密性,加强对设备驱动和内核通信渠道的监控,才能有效抵御此类复杂攻防。未来,随着操作系统安全机制的提升及驱动供应商的漏洞修复,这类攻击有望得到限制,但当前环境下,这一威胁仍需引起各行各业的高度重视。
。
