BYOVD؛ چگونه مهاجمان از درایورهای معتبر ویندوز برای خاموش کردن امنیت استفاده می‌کنند

BYOVD؛ چگونه مهاجمان از درایورهای معتبر ویندوز برای خاموش کردن امنیت استفاده می‌کنند

در سه سال گذشته، یکی از مرگبارترین و مؤثرترین تکنیک‌های فرار از شناسایی در حملات سایبری، از یک روش حاشیه‌ای به یک مؤلفه استاندارد در زرادخانه گروه‌های باج‌افزاری تبدیل شده است. تکنیک BYOVD (Bring Your Own Vulnerable Driver) به مهاجمان اجازه می‌دهد از درایورهای معتبر و امضا شده‌ای که دارای آسیب‌پذیری‌های شناخته شده هستند، سوءاستفاده کرده و کنترل کامل هسته ویندوز را به دست گیرند. این روش به مهاجمان امکان می‌دهد در بالاترین سطح دسترسی ممکن عمل کنند و ابزارهای امنیتی را کور، فلج یا به سادگی از کار بیندازند. تیم شکار تهدید سیمانتک (Symantec) در مقاله سفید خود با عنوان "Lights Out: Defense Evasion in the Age of BYOVD" به بررسی دقیق این تکنیک و راهکارهای دفاعی مؤثر در برابر آن پرداخته است.

 

چرا مهاجمان به هسته ویندوز نفوذ می‌کنند؟

ویندوز کد خود را در دو سطح مجزا از دسترسی اجرا می‌کند. حالت کاربر (User Mode) جایی است که برنامه‌های روزمره در آن اجرا می‌شوند و سیستم‌عامل محدودیت‌های مشخصی برای آنها اعمال می‌کند. اما حالت هسته (Kernel Mode) جایی است که خود سیستم‌عامل اجرا می‌شود و کدی که در این سطح اجرا می‌شود، تقریباً هیچ محدودیتی ندارد. مهاجمی که به حالت هسته دسترسی پیدا می‌کند، می‌تواند تقریباً هر چیزی را روی دستگاه بخواند یا تغییر دهد، از جمله نرم‌افزارهای امنیتی که وظیفه محافظت از آن را دارند.

 

درایورهای آسیب‌پذیر، مطمئن‌ترین راه مهاجمان برای دسترسی به هسته هستند. یک درایور قطعه‌ای از کد معتبر و امضاشده است که سیستم‌عامل آن را برای انجام وظایف تخصصی بارگذاری می‌کند و هسته ویندوز پس از بارگذاری، به درایورهای شخص ثالث کاملاً اعتماد می‌کند. مهاجم پس از به دست آوردن دسترسی مدیر، می‌تواند یک درایور معیوب اما معتبر را روی دستگاه هدف رها کند. از آنجا که درایور امضا شده است، ویندوز آن را به طور خودکار بارگذاری می‌کند. سپس مهاجم یک دستور خاص به درایور ارسال می‌کند که از آسیب‌پذیری آن سوءاستفاده کرده و درایور عملیاتی را از طرف مهاجم انجام می‌دهد که هیچ برنامه معمولی نمی‌تواند انجام دهد.

 

BYOVD چگونه کار می‌کند؟

تکنیک BYOVD بر اساس یک اصل ساده اما خطرناک عمل می‌کند: سوءاستفاده از درایورهای امضا شده و معتبر که دارای آسیب‌پذیری‌های شناخته شده هستند. از آنجا که این درایورها به صورت قانونی امضا شده‌اند، ویندوز آنها را بدون ایجاد هشدار بارگذاری می‌کند و مهاجمان می‌توانند از این اعتماد سوءاستفاده کنند.

 

رایج‌ترین اقدام در حملات BYOVD، خاتمه دادن به فرآیندهای متعلق به محصولات آنتی‌ویروس (AV) یا تشخیص و پاسخ به نقاط پایانی (EDR) است که دستگاه را از دفاع‌های خود خالی می‌کند. اما برخی از انواع این حملات ظریف‌تر هستند. مهاجمان ممکن است حقوق لازم برای عملکرد صحیح عامل امنیتی را از آن سلب کنند و آن را در حال اجرا اما ناتوان از اقدام باقی بگذارند. برخی دیگر مستقیماً سوابق داخلی هسته را دستکاری می‌کنند تا محصول امنیتی دیگر درباره وقایع روی دستگاه هشدار دریافت نکند و در عمل آن را کور کنند.

 

صدها درایور آسیب‌پذیر در گردش هستند و به طور منظم موارد جدید کشف و به اشتراک گذاشته می‌شوند. ابزارهای آماده‌ای که حمله BYOVD را خودکار می‌کنند، به طور معمول در بسته‌های باج‌افزار به عنوان سرویس (RaaS) همراه با محموله‌های مخرب ارائه می‌شوند. نمونه‌هایی از این ابزارها عبارتند از TrueSightKiller که از درایور آسیب‌پذیر truesight.sys بهره می‌برد، GhostDriver، AuKill که از نسخه قدیمی درایور استفاده شده توسط ابزار Process Explorer مایکروسافت سوءاستفاده می‌کند، و Poortry که توسعه‌دهندگان آن موفق به دریافت امضای معتبر برای آن شده‌اند.

 

نمونه‌های واقعی: BYOVD در حملات باج‌افزاری

در فوریه ۲۰۲۶، تیم شکار تهدید سیمانتک و کربن بلک یک کمپین باج‌افزاری قابل توجه را کشف کرد که در آن یک درایور آسیب‌پذیر به طور مستقیم در محموله باج‌افزار تعبیه شده بود. این باج‌افزار که Reynolds نام دارد، برخلاف روش معمول که ابزار BYOVD به عنوان یک فایل جداگانه قبل از محموله اصلی مستقر می‌شد، درایور آسیب‌پذیر NsecSoft NSecKrnl را درون خود جای داده بود. این رویکرد جدید، حمله را «ساکت‌تر» و سریع‌تر می‌کند؛ زیرا هیچ فایل جداگانه‌ای برای شناسایی وجود ندارد و هیچ شکاف زمانی برای واکنش مدافعان باقی نمی‌ماند.

 

درایور NSecKrnl که دارای یک آسیب‌پذیری امنیتی بحرانی شناخته شده با شناسه CVE-2025-68947 است، به مهاجمان اجازه می‌دهد فرآیندهای امنیتی مربوط به راه‌حل‌های برجسته از جمله سوفوس، سیمانتک، مایکروسافت دیفندر، کراوداسترایک، ای‌ست و آواست را از بین ببرند. این حمله نشان می‌دهد که چگونه تکنیک BYOVD به سطح جدیدی از پیچیدگی و یکپارچگی رسیده است و نگرانی‌هایی را درباره افزایش حملات مشابه در آینده ایجاد می‌کند.

 

محدودیت‌های راهکارهای دفاعی سنتی

در پاسخ به تهدید BYOVD، دو رویکرد دفاعی اصلی در صنعت امنیت سایبری به کار گرفته شده است، اما هر دو دارای محدودیت‌های قابل توجهی هستند. لیست سیاه درایورهای آسیب‌پذیر مایکروسافت از نصب درایورهای شناخته شده آسیب‌پذیر در نسخه‌های جدید ویندوز جلوگیری می‌کند، اما بین شناسایی یک درایور و رسیدن به‌روزرسانی لیست سیاه به نقاط پایانی سازمانی، چند روز و اغلب چند هفته تأخیر وجود دارد. تنها زیرمجموعه‌ای از درایورهای آسیب‌پذیر شناخته شده در هر زمان در لیست سیاه قرار دارند و وقتی مدافعان یک درایور را مسدود می‌کنند، مهاجمان به سادگی به درایور بعدی تغییر می‌دهند.

 

تشخیص مبتنی بر امضا نیز با مشکل مشابهی مواجه است. بسیاری از ابزارهای BYOVD به عنوان پروژه‌های اثبات مفهوم منبع‌باز در پلتفرم‌های اشتراک کد عمومی آغاز می‌شوند. وقتی پروژه اصلی شناسایی می‌شود، مهاجمان آن را در عرض چند روز، اغلب به زبان دیگری، پیاده‌سازی مجدد می‌کنند. همین تکنیک در زبان‌های C، ++C، #C، Rust و Go پیاده‌سازی مجدد شده است و هر تغییر زبانی، امضای هش موجود را شکست می‌دهد. نتیجه این است که دفاع‌های ایستا، مدافعان را برای همیشه در وضعیت واکنشی نگه می‌دارند.

 

چرا سخت‌افزاری‌سازی هسته کافی نیست؟

مایکروسافت طی دهه گذشته مجموعه‌ای از ویژگی‌های محافظتی را به هسته ویندوز اضافه کرده است تا دسترسی به هسته را برای مهاجمان دشوارتر کند. KASLR (تصادفی‌سازی چیدمان فضای آدرس هسته) پیدا کردن ساختارهای هسته را دشوارتر می‌کند. HVCI (یکپارچگی کد محافظت‌شده توسط هایپروایزر) از وصله کردن کد هسته توسط مهاجمان جلوگیری می‌کند. KCFG (محافظ جریان کنترل هسته) و محافظت از پشته مبتنی بر سخت‌افزار، نحوه حرکت کنترل در هسته را محدود می‌کنند.

 

با این حال، حملاتی که بیشتر علیه محصولات AV و EDR استفاده می‌شوند، در هیچ یک از دسته‌بندی‌هایی که این ویژگی‌ها مسدود می‌کنند، قرار نمی‌گیرند. مهاجم سعی نمی‌کند کد جدیدی در هسته اجرا کند، نحوه کار سیستم‌عامل را تغییر مسیر دهد یا نقشه حافظه را بازنویسی کند. آنها به سادگی اطلاعاتی را که سیستم‌عامل در اختیار دارد، تغییر می‌دهند. این حملات مبتنی بر داده، کاملاً سخت‌افزاری‌سازی هسته را دور می‌زنند. معیارهای انتشار مایکروسافت برای ویندوز صراحتاً بیان می‌کند که برای هسته NT، دسترسی مدیر به هسته یک مرز امنیتی محسوب نمی‌شود. حملات از این نوع به عنوان دور زدن راهکارهای کاهش خطر تلقی می‌شوند تا بهره‌برداری از آسیب‌پذیری‌ها، و رفع آنها زمانی که اتفاق می‌افتد، بدون CVE و خارج از فرآیند استاندارد پاسخ به امنیت انجام می‌شود.

 

راهکار رفتاری سیمانتک؛ تغییر تعادل به نفع مدافعان

رویکردی که واقعاً تعادل را به نفع مدافعان تغییر می‌دهد، نظارت بر رفتار فایل‌ها هنگام تعامل با درایورهای هسته است، نه صرفاً اینکه کدام درایورها بارگذاری می‌شوند. چه یک ابزار BYOVD یک پروژه قدیمی ++C باشد و چه یک پورت تازه Rust که هفته گذشته نوشته شده است، الگوی عملیاتی آن تا حد زیادی یکسان است: یک درایور آسیب‌پذیر روی دیسک رها می‌شود، یک سرویس ایجاد و راه‌اندازی می‌شود تا آن را بارگذاری کند، مؤلفه مخرب سپس فرآیندهای در حال اجرا را شمارش کرده و یک دستور IOCTL خاص به درایور ارسال می‌کند که آن را به انجام یک اقدام ممتاز علیه نرم‌افزار امنیتی راهنمایی می‌کند.

 

محصولات سیمانتک و کربن بلک اکنون شامل نظارت رفتاری بر این تعاملات درایور هستند که ترافیک غیرعادی IOCTL را شناسایی می‌کند؛ مانند درخواست‌های خاتمه فرآیند که به سمت محصولات امنیتی هدایت می‌شوند، عملیات حذف دسترسی که می‌تواند یک فرآیند امنیتی را از کار بیندازد، و حذف بازخورد که EDR را کور می‌کند.

 

این محافظت مستقل از درایور است. یک درخواست برای خاتمه یک محصول امنیتی در حال اجرا، صرف‌نظر از اینکه کدام درایور برای انجام آن استفاده می‌شود، غیرعادی است. بنابراین تشخیص به شناسایی قبلی درایور وابسته نیست و می‌تواند یک درایور آسیب‌پذیر ناشناخته را اولین بار که در طبیعت ظاهر می‌شود، شناسایی کند. یک درایور آسیب‌پذیر که این هفته ظهور می‌کند، می‌تواند بلافاصله توسط محافظت رفتاری پوشش داده شود. مزیت زمانی که مهاجمان از زمان محبوبیت BYOVD برخوردار بوده‌اند، در حال کاهش است. فقط محصولات سیمانتک و کربن بلک محافظت جامعی در سطح رفتاری ارائه می‌دهند.

 

کلام آخر

تکنیک BYOVD نشان‌دهنده یک تغییر پارادایم در حملات سایبری است؛ جایی که مهاجمان به جای تلاش برای پنهان شدن، مستقیماً ابزارهای امنیتی را هدف گرفته و خاموش می‌کنند. این روش با بهره‌گیری از درایورهای معتبر و امضا شده، از نقاط کور امنیتی سنتی سوءاستفاده کرده و در قلب سیستم‌عامل نفوذ می‌کند. در حالی که راهکارهای سنتی مانند لیست سیاه درایورها و تشخیص مبتنی بر امضا، به دلیل تأخیر ذاتی و قابلیت تغییر سریع مهاجمان، ناکارآمد هستند، رویکرد رفتاری سیمانتک با نظارت بر الگوهای تعامل با درایورها، یک راهکار مؤثر و مستقل از درایور ارائه می‌دهد. محصولات سیمانتک و کربن بلک با شناسایی رفتارهای غیرعادی مانند درخواست‌های خاتمه فرآیندهای امنیتی، عملیات حذف دسترسی و حذف بازخورد، می‌توانند حملات BYOVD را حتی در اولین مواجهه با یک درایور ناشناخته شناسایی و مسدود کنند. در دنیایی که تهدیدات سایبری هر روز پیچیده‌تر می‌شوند، سرمایه‌گذاری بر روی راهکارهای امنیتی مبتنی بر تحلیل رفتار، نه یک انتخاب لوکس، بلکه یک ضرورت استراتژیک برای هر سازمانی است که به دنبال حفظ امنیت داده‌ها و تداوم کسب‌وکار خود در عصر دیجیتال است.

 

بازخوردها
    ارسال نظر
    (بعد از تائید مدیر منتشر خواهد شد)
    • - نشانی ایمیل شما منتشر نخواهد شد.
    • - لطفا دیدگاهتان تا حد امکان مربوط به مطلب باشد.
    • - لطفا فارسی بنویسید.
    • - میخواهید عکس خودتان کنار نظرتان باشد؟ به gravatar.com بروید و عکستان را اضافه کنید.
    • - نظرات شما بعد از تایید مدیریت منتشر خواهد شد