文章总结： 2026年2月一起攻击利用被盗VPN凭证，通过BYOVD技术加载过期签名驱动绕过Windows验证，在内核层无差别终止Defender和CrowdStrike等59种主流安全进程。建议强制MFA、启用HVCI、部署WDAC策略及加强日志关联，防御此类瓦解终端安全体系的内核级攻击。 综合评分： 87 文章分类： 恶意软件,漏洞分析,威胁情报,终端安全,内网渗透

BYOVD攻击如何无差别绕过全球主流EDR

原创

网空闲话 网空闲话

网空闲话plus

2026年2月6日 06:47 北京

根据网络安全公司Huntress于2026年2月4日发布的详细分析报告，以及SecurityLab在2月5日的跟进报道，2026年2月初发生的一起网络入侵事件，清晰揭示了高级攻击者如何将一种名为“自带易受攻击驱动程序”的技术武器化，从而系统性地摧毁几乎所有主流终端防护软件。这场始于被盗VPN凭证的攻击，最终演变为一场针对整个终端安全生态的“内核级”清洗，标志着现代勒索软件攻击链中一个极为危险且成熟的新阶段。

从VPN入口到内核统治

本次攻击始于一个经典但有效的初始入侵向量：遭窃的SonicWall SSL VPN凭证。攻击者在成功登录前进行了试探，来自IP地址193.160.216[.]221的登录尝试被拒绝后，其迅速从另一IP69.10.60[.]250完成认证，潜入了目标网络。

进入内网后，攻击者立即执行了高强度、广覆盖的主动侦察。SonicWall IPS记录下了包括ICMP ping扫描、NetBIOS名称查询探测以及针对SMB协议的SYN洪水攻击（速率高达370个/秒）在内的异常活动。这些行为是攻击者为定位关键资产、为后续大规模加密或数据窃取做准备的典型特征。然而，与许多直接部署勒索软件的攻击不同，此次攻击者的下一个关键步骤是彻底解除系统的武装——清除所有终端检测与响应（EDR）及防病毒（AV）代理。

利用系统信任机制的BYOVD攻击

攻击者部署了一个伪装成“固件更新工具”的64位Windows可执行文件。该工具的核心是一个高度复杂的“EDR杀手”组件，其杀伤力源于对 “自带易受攻击驱动程序” 技术的精妙运用。

巧妙的载荷隐写术：为逃避静态分析，恶意软件并未采用传统加密，而是使用了一种基于256个英文单词词典的替换密码。驱动程序（EnPortv.sys）的每个字节被转换为一个特定英文单词（如0x00对应“about”，0x4D对应“block”）。编码后的有效载荷呈现为一段长达384,528字节、由空格分隔的普通英文文本，其熵值（约4比特/字节）远低于通常标记为可疑的阈值（7-8比特/字节），从而轻松绕过了基于熵值或特征码的检测。前几个词“block both choice about”解码后即为“MZ”，揭示了其PE文件本质。

驱动加载与反取证伪装：解码后的驱动程序被写入C:\ProgramData\OEM\Firmware\OemHwUpd.sys。随后，恶意软件执行了专业的反取证操作：将文件属性设为隐藏和系统，并从合法的系统文件ntdll.dll中复制时间戳，使得恶意驱动在文件系统中完美“隐身”，与正常系统文件无异。

击穿Windows签名验证壁垒：该驱动程序原是Guidance Software（EnCase）取证工具的合法组件，由其数字签名。然而，其证书已于2010年1月过期并被吊销。Windows驱动程序签名强制（DSE）机制存在一个关键缺陷：内核在加载驱动时，只验证数字签名的加密有效性和信任链，却不会（也无法在启动早期）在线检查证书吊销状态（CRL）。此外，该驱动签名于2006年，并包含有效时间戳，使其符合微软为保持向后兼容性而设立的“2015年7月29日之前”例外规则。因此，Windows系统完全接受了这个已被吊销多年的“合法”签名，使攻击者获得内核级代码执行权限。

内核级无差别清除：驱动程序加载后，被注册为名为“OEM硬件HAL服务”的伪系统服务以实现持久化。该驱动（EnPortv.sys）实际公开了超过18个IOCTL函数，具备进程隐藏、物理内存读取等强大内核能力。在此次攻击中，攻击者仅使用了其进程终止功能（IOCTL 0x223078, KillProc）。用户模式的恶意组件通过向驱动发送目标进程ID，即可在内核层面直接调用ZwTerminateProcess。由于此操作以KernelMode权限执行，它完全绕过了所有用户模式的安全防护，包括受保护的进程轻量级（PPL）机制，实现了对安全软件的“降维打击”。

无差别杀伤：覆盖全球主流安全生态

此“EDR杀手”的打击范围体现了其通用化、无差别化的设计目的。它通过FNV-1a哈希算法维护并比对一个包含59个目标进程的列表，以每秒一次的频率持续扫描和终止进程。被锁定的目标几乎涵盖了全球所有主流终端安全厂商：

微软内置防护：MsMpEng.exe (Microsoft Defender核心进程)、MsSense.exe等。

新一代EDR领导者：CrowdStrike (CsFalconService.exe)、SentinelOne (SentinelAgent.exe)、Carbon Black (cb.exe)、Palo Alto Cortex XDR (CyveraService.exe)。

传统防病毒巨头：Kaspersky (avp.exe)、ESET (ekrn.exe)、Bitdefender (BDAgent.exe)、Sophos、McAfee/Trellix、Trend Micro、Symantec等。

扩展检测与响应（XDR）及IT管理工具：Elastic、Cybereason、Tanium、Qualys、Splunk等。

这份详尽的名单表明，此类BYOVD攻击并非针对特定产品漏洞，而是旨在瘫痪整个终端安全防御体系，为后续的勒索软件部署或数据窃取扫清障碍。

防御警示

值得庆幸的是，由于受害组织部署了集中式日志分析系统（SIEM），并将来自SonicWall VPN、网络IPS和终端代理的告警进行关联，安全团队（Huntress）在攻击者尚未部署勒索软件加密数据前，就成功识别并隔离了受感染主机，避免了灾难性后果。

然而，此次事件向整个网络安全行业敲响了警钟：

系统信任机制的“阿喀琉斯之踵”：合法但过时/被吊销的代码签名证书，已成为攻击者最危险的“特权升级门票”。供应链安全的“长尾风险”和操作系统向后兼容性带来的安全代价在此凸显。

内核成为终极战场：攻击战术已从“绕过检测”升级为 “直接摧毁检测能力” 。当攻击者获得内核控制权，所有上层安全假设都将失效。防御必须纵深到底层，加强对内核模块加载的监控与强制性策略控制。

防御必须前置与纵深结合（综合事件响应建议）：

加固最薄弱的入口：对VPN、远程桌面等所有远程访问强制实施多因素认证（MFA），这是阻止此类凭证窃取攻击最有效的一环。

启用底层完整性保护：在支持的系统上务必启用 “内存完整性”（HVCI） ，以强制实施微软持续更新的易受攻击驱动程序阻止列表。

实施主动应用程序控制：通过Windows Defender应用程序控制（WDAC） 部署严格的驱动程序允许列表或阻止已知恶意驱动列表，从策略层面封堵BYOVD。

启用高级攻击缓解：开启攻击面减少（ASR）规则中的 “阻止滥用已利用漏洞的签名驱动程序” 选项。

强化监控与响应：集中并关联分析网络、身份认证与终端日志；对系统中突然出现的、模仿OEM/硬件厂商的非正常服务或驱动保持极高警惕。

结论

2026年初的这起“EDR杀手”事件绝非孤立。它清晰地勾勒出高级持续性威胁（APT）和勒索软件团伙正在将BYOVD攻击标准化、流程化的演变趋势。攻击者正狡猾地利用操作系统安全机制中“信任”与“兼容”之间的固有矛盾。对于防御方而言，仅依靠单个终端安全产品进行防护的时代已经过去。唯有构建从强化身份、主动防御、持续监控到统一响应的深度、立体化安全体系，才能有效抵御这类旨在从根本上瓦解防御能力的“斩首式”攻击。

参考资源

1、https://www.huntress.com/blog/encase-byovd-edr-killer

2、https://www.securitylab.ru/news/568986.php

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网空闲话plus 网空闲话 网空闲话《BYOVD攻击如何无差别绕过全球主流EDR》