BYOVD؛ چگونه مهاجمان از درایورهای معتبر ویندوز برای خاموش کردن امنیت استفاده میکنند
در سه سال گذشته، یکی از مرگبارترین و مؤثرترین تکنیکهای فرار از شناسایی در حملات سایبری، از یک روش حاشیهای به یک مؤلفه استاندارد در زرادخانه گروههای باجافزاری تبدیل شده است. تکنیک BYOVD (Bring Your Own Vulnerable Driver) به مهاجمان اجازه میدهد از درایورهای معتبر و امضا شدهای که دارای آسیبپذیریهای شناخته شده هستند، سوءاستفاده کرده و کنترل کامل هسته ویندوز را به دست گیرند. این روش به مهاجمان امکان میدهد در بالاترین سطح دسترسی ممکن عمل کنند و ابزارهای امنیتی را کور، فلج یا به سادگی از کار بیندازند. تیم شکار تهدید سیمانتک (Symantec) در مقاله سفید خود با عنوان "Lights Out: Defense Evasion in the Age of BYOVD" به بررسی دقیق این تکنیک و راهکارهای دفاعی مؤثر در برابر آن پرداخته است.
چرا مهاجمان به هسته ویندوز نفوذ میکنند؟
ویندوز کد خود را در دو سطح مجزا از دسترسی اجرا میکند. حالت کاربر (User Mode) جایی است که برنامههای روزمره در آن اجرا میشوند و سیستمعامل محدودیتهای مشخصی برای آنها اعمال میکند. اما حالت هسته (Kernel Mode) جایی است که خود سیستمعامل اجرا میشود و کدی که در این سطح اجرا میشود، تقریباً هیچ محدودیتی ندارد. مهاجمی که به حالت هسته دسترسی پیدا میکند، میتواند تقریباً هر چیزی را روی دستگاه بخواند یا تغییر دهد، از جمله نرمافزارهای امنیتی که وظیفه محافظت از آن را دارند.
درایورهای آسیبپذیر، مطمئنترین راه مهاجمان برای دسترسی به هسته هستند. یک درایور قطعهای از کد معتبر و امضاشده است که سیستمعامل آن را برای انجام وظایف تخصصی بارگذاری میکند و هسته ویندوز پس از بارگذاری، به درایورهای شخص ثالث کاملاً اعتماد میکند. مهاجم پس از به دست آوردن دسترسی مدیر، میتواند یک درایور معیوب اما معتبر را روی دستگاه هدف رها کند. از آنجا که درایور امضا شده است، ویندوز آن را به طور خودکار بارگذاری میکند. سپس مهاجم یک دستور خاص به درایور ارسال میکند که از آسیبپذیری آن سوءاستفاده کرده و درایور عملیاتی را از طرف مهاجم انجام میدهد که هیچ برنامه معمولی نمیتواند انجام دهد.
BYOVD چگونه کار میکند؟
تکنیک BYOVD بر اساس یک اصل ساده اما خطرناک عمل میکند: سوءاستفاده از درایورهای امضا شده و معتبر که دارای آسیبپذیریهای شناخته شده هستند. از آنجا که این درایورها به صورت قانونی امضا شدهاند، ویندوز آنها را بدون ایجاد هشدار بارگذاری میکند و مهاجمان میتوانند از این اعتماد سوءاستفاده کنند.
رایجترین اقدام در حملات BYOVD، خاتمه دادن به فرآیندهای متعلق به محصولات آنتیویروس (AV) یا تشخیص و پاسخ به نقاط پایانی (EDR) است که دستگاه را از دفاعهای خود خالی میکند. اما برخی از انواع این حملات ظریفتر هستند. مهاجمان ممکن است حقوق لازم برای عملکرد صحیح عامل امنیتی را از آن سلب کنند و آن را در حال اجرا اما ناتوان از اقدام باقی بگذارند. برخی دیگر مستقیماً سوابق داخلی هسته را دستکاری میکنند تا محصول امنیتی دیگر درباره وقایع روی دستگاه هشدار دریافت نکند و در عمل آن را کور کنند.
صدها درایور آسیبپذیر در گردش هستند و به طور منظم موارد جدید کشف و به اشتراک گذاشته میشوند. ابزارهای آمادهای که حمله BYOVD را خودکار میکنند، به طور معمول در بستههای باجافزار به عنوان سرویس (RaaS) همراه با محمولههای مخرب ارائه میشوند. نمونههایی از این ابزارها عبارتند از TrueSightKiller که از درایور آسیبپذیر truesight.sys بهره میبرد، GhostDriver، AuKill که از نسخه قدیمی درایور استفاده شده توسط ابزار Process Explorer مایکروسافت سوءاستفاده میکند، و Poortry که توسعهدهندگان آن موفق به دریافت امضای معتبر برای آن شدهاند.
نمونههای واقعی: BYOVD در حملات باجافزاری
در فوریه ۲۰۲۶، تیم شکار تهدید سیمانتک و کربن بلک یک کمپین باجافزاری قابل توجه را کشف کرد که در آن یک درایور آسیبپذیر به طور مستقیم در محموله باجافزار تعبیه شده بود. این باجافزار که Reynolds نام دارد، برخلاف روش معمول که ابزار BYOVD به عنوان یک فایل جداگانه قبل از محموله اصلی مستقر میشد، درایور آسیبپذیر NsecSoft NSecKrnl را درون خود جای داده بود. این رویکرد جدید، حمله را «ساکتتر» و سریعتر میکند؛ زیرا هیچ فایل جداگانهای برای شناسایی وجود ندارد و هیچ شکاف زمانی برای واکنش مدافعان باقی نمیماند.
درایور NSecKrnl که دارای یک آسیبپذیری امنیتی بحرانی شناخته شده با شناسه CVE-2025-68947 است، به مهاجمان اجازه میدهد فرآیندهای امنیتی مربوط به راهحلهای برجسته از جمله سوفوس، سیمانتک، مایکروسافت دیفندر، کراوداسترایک، ایست و آواست را از بین ببرند. این حمله نشان میدهد که چگونه تکنیک BYOVD به سطح جدیدی از پیچیدگی و یکپارچگی رسیده است و نگرانیهایی را درباره افزایش حملات مشابه در آینده ایجاد میکند.
محدودیتهای راهکارهای دفاعی سنتی
در پاسخ به تهدید BYOVD، دو رویکرد دفاعی اصلی در صنعت امنیت سایبری به کار گرفته شده است، اما هر دو دارای محدودیتهای قابل توجهی هستند. لیست سیاه درایورهای آسیبپذیر مایکروسافت از نصب درایورهای شناخته شده آسیبپذیر در نسخههای جدید ویندوز جلوگیری میکند، اما بین شناسایی یک درایور و رسیدن بهروزرسانی لیست سیاه به نقاط پایانی سازمانی، چند روز و اغلب چند هفته تأخیر وجود دارد. تنها زیرمجموعهای از درایورهای آسیبپذیر شناخته شده در هر زمان در لیست سیاه قرار دارند و وقتی مدافعان یک درایور را مسدود میکنند، مهاجمان به سادگی به درایور بعدی تغییر میدهند.
تشخیص مبتنی بر امضا نیز با مشکل مشابهی مواجه است. بسیاری از ابزارهای BYOVD به عنوان پروژههای اثبات مفهوم منبعباز در پلتفرمهای اشتراک کد عمومی آغاز میشوند. وقتی پروژه اصلی شناسایی میشود، مهاجمان آن را در عرض چند روز، اغلب به زبان دیگری، پیادهسازی مجدد میکنند. همین تکنیک در زبانهای C، ++C، #C، Rust و Go پیادهسازی مجدد شده است و هر تغییر زبانی، امضای هش موجود را شکست میدهد. نتیجه این است که دفاعهای ایستا، مدافعان را برای همیشه در وضعیت واکنشی نگه میدارند.
چرا سختافزاریسازی هسته کافی نیست؟
مایکروسافت طی دهه گذشته مجموعهای از ویژگیهای محافظتی را به هسته ویندوز اضافه کرده است تا دسترسی به هسته را برای مهاجمان دشوارتر کند. KASLR (تصادفیسازی چیدمان فضای آدرس هسته) پیدا کردن ساختارهای هسته را دشوارتر میکند. HVCI (یکپارچگی کد محافظتشده توسط هایپروایزر) از وصله کردن کد هسته توسط مهاجمان جلوگیری میکند. KCFG (محافظ جریان کنترل هسته) و محافظت از پشته مبتنی بر سختافزار، نحوه حرکت کنترل در هسته را محدود میکنند.
با این حال، حملاتی که بیشتر علیه محصولات AV و EDR استفاده میشوند، در هیچ یک از دستهبندیهایی که این ویژگیها مسدود میکنند، قرار نمیگیرند. مهاجم سعی نمیکند کد جدیدی در هسته اجرا کند، نحوه کار سیستمعامل را تغییر مسیر دهد یا نقشه حافظه را بازنویسی کند. آنها به سادگی اطلاعاتی را که سیستمعامل در اختیار دارد، تغییر میدهند. این حملات مبتنی بر داده، کاملاً سختافزاریسازی هسته را دور میزنند. معیارهای انتشار مایکروسافت برای ویندوز صراحتاً بیان میکند که برای هسته NT، دسترسی مدیر به هسته یک مرز امنیتی محسوب نمیشود. حملات از این نوع به عنوان دور زدن راهکارهای کاهش خطر تلقی میشوند تا بهرهبرداری از آسیبپذیریها، و رفع آنها زمانی که اتفاق میافتد، بدون CVE و خارج از فرآیند استاندارد پاسخ به امنیت انجام میشود.
راهکار رفتاری سیمانتک؛ تغییر تعادل به نفع مدافعان
رویکردی که واقعاً تعادل را به نفع مدافعان تغییر میدهد، نظارت بر رفتار فایلها هنگام تعامل با درایورهای هسته است، نه صرفاً اینکه کدام درایورها بارگذاری میشوند. چه یک ابزار BYOVD یک پروژه قدیمی ++C باشد و چه یک پورت تازه Rust که هفته گذشته نوشته شده است، الگوی عملیاتی آن تا حد زیادی یکسان است: یک درایور آسیبپذیر روی دیسک رها میشود، یک سرویس ایجاد و راهاندازی میشود تا آن را بارگذاری کند، مؤلفه مخرب سپس فرآیندهای در حال اجرا را شمارش کرده و یک دستور IOCTL خاص به درایور ارسال میکند که آن را به انجام یک اقدام ممتاز علیه نرمافزار امنیتی راهنمایی میکند.
محصولات سیمانتک و کربن بلک اکنون شامل نظارت رفتاری بر این تعاملات درایور هستند که ترافیک غیرعادی IOCTL را شناسایی میکند؛ مانند درخواستهای خاتمه فرآیند که به سمت محصولات امنیتی هدایت میشوند، عملیات حذف دسترسی که میتواند یک فرآیند امنیتی را از کار بیندازد، و حذف بازخورد که EDR را کور میکند.
این محافظت مستقل از درایور است. یک درخواست برای خاتمه یک محصول امنیتی در حال اجرا، صرفنظر از اینکه کدام درایور برای انجام آن استفاده میشود، غیرعادی است. بنابراین تشخیص به شناسایی قبلی درایور وابسته نیست و میتواند یک درایور آسیبپذیر ناشناخته را اولین بار که در طبیعت ظاهر میشود، شناسایی کند. یک درایور آسیبپذیر که این هفته ظهور میکند، میتواند بلافاصله توسط محافظت رفتاری پوشش داده شود. مزیت زمانی که مهاجمان از زمان محبوبیت BYOVD برخوردار بودهاند، در حال کاهش است. فقط محصولات سیمانتک و کربن بلک محافظت جامعی در سطح رفتاری ارائه میدهند.
کلام آخر
تکنیک BYOVD نشاندهنده یک تغییر پارادایم در حملات سایبری است؛ جایی که مهاجمان به جای تلاش برای پنهان شدن، مستقیماً ابزارهای امنیتی را هدف گرفته و خاموش میکنند. این روش با بهرهگیری از درایورهای معتبر و امضا شده، از نقاط کور امنیتی سنتی سوءاستفاده کرده و در قلب سیستمعامل نفوذ میکند. در حالی که راهکارهای سنتی مانند لیست سیاه درایورها و تشخیص مبتنی بر امضا، به دلیل تأخیر ذاتی و قابلیت تغییر سریع مهاجمان، ناکارآمد هستند، رویکرد رفتاری سیمانتک با نظارت بر الگوهای تعامل با درایورها، یک راهکار مؤثر و مستقل از درایور ارائه میدهد. محصولات سیمانتک و کربن بلک با شناسایی رفتارهای غیرعادی مانند درخواستهای خاتمه فرآیندهای امنیتی، عملیات حذف دسترسی و حذف بازخورد، میتوانند حملات BYOVD را حتی در اولین مواجهه با یک درایور ناشناخته شناسایی و مسدود کنند. در دنیایی که تهدیدات سایبری هر روز پیچیدهتر میشوند، سرمایهگذاری بر روی راهکارهای امنیتی مبتنی بر تحلیل رفتار، نه یک انتخاب لوکس، بلکه یک ضرورت استراتژیک برای هر سازمانی است که به دنبال حفظ امنیت دادهها و تداوم کسبوکار خود در عصر دیجیتال است.