文章总结: 文档概述了BYOVD攻击利用合法签名驱动获取内核权限的现状,通过银狐组织和冒牌软件案例说明危害,指出传统防护局限。火绒安全推出漏洞驱动拦截功能,在不影响合规软件前提下拦截恶意驱动利用,以WinRing0.sys为例演示防护效果,建议用户使用火绒6.0版本并自定义例外名单。 综合评分: 85 文章分类: 漏洞分析,恶意软件,终端安全,解决方案,产品介绍
BYOVD攻击泛滥!火绒专项防护守护系统安全
原创
火绒安全 火绒安全
火绒安全
2026年3月23日 17:29 北京
案例一
“银狐”组织利用“IP-Guard等行为管理软件”获取用户电脑权限,记录用户电脑的日常操作,实现对用户电脑活动的监控,获取敏感信息,使用户终端安全受到严重威胁和损害。
案例二
攻击者通过精心伪造各类软件的“官网”,通过网络推广等方式诱导用户访问并下载安装这些冒牌软件。下载后的程序会利用二次打包等隐蔽手段,在安装过程中悄无声息地植入恶意代码,并在系统中暗设后门。用户一旦中招,攻击者便能远程操控受害者的电脑,进而窃取账号密码、银行信息、聊天记录等关键隐私数据,导致用户账号被盗、数据泄露,引发财产损失等严重后果。
对抗BYOVD攻击
近年来,BYOVD(自带漏洞驱动)攻击已成为恶意程序对抗安全软件的主流手段,银狐、挖矿、勒索等常见恶意程序频繁利用带有合法数字签名的漏洞驱动,绕过Windows系统强制驱动签名限制,获取系统内核最高权限,结束安全软件进程,对用户系统安全造成严重威胁。
传统防护手段针对该威胁的查杀方案存在明显局限:漏洞驱动本身是正常软件的功能组件,直接查杀会影响用户合规软件的正常使用;如果使用内核级直接对抗,又可能引发用户系统崩溃、无法启动,存在较高的系统风险。
目前,火绒安全软件的漏洞驱动拦截功能,可为用户提供专项防护能力:在不查杀漏洞驱动本身、不影响用户正常软件使用的前提下,提前拦截恶意程序对漏洞驱动的恶意利用,阻断攻击者通过漏洞驱动获取内核权限、对抗安全软件的行为,既保护火绒自身防护能力不被恶意关闭,也守护用户系统的整体安全。
已关注
关注
重播 分享 赞
关闭
观看更多
更多
退出全屏
切换到竖屏全屏退出全屏
火绒安全已关注
分享视频
,时长00:36
0/0
00:00/00:36
切换到横屏模式
继续播放
[ ]
进度条,百分之0
播放
00:00
/
00:36
00:36
倍速
全屏
倍速播放中
0.5倍 0.75倍 1.0倍 1.5倍 2.0倍
超清 流畅
继续观看
BYOVD攻击泛滥!火绒专项防护守护系统安全
观看更多
原创
,
BYOVD攻击泛滥!火绒专项防护守护系统安全
火绒安全已关注
分享点赞在看
已同步到看一看写下你的评论
视频详情
该功能在火绒安全个人版6.0最新版本中默认为开启状态;同时火绒仍对被病毒高频利用的高风险漏洞驱动保持查杀处置,进一步强化防护效果。若用户发现自身可信程序的驱动被该功能拦截,可将其加入例外名单放行。
火绒安全工程师以被恶意程序高频利用的典型漏洞驱动WinRing0.sys为例,演示了该功能的实际防护效果。
驱动功能相关截图
XMRig源码相关截图
挖矿病毒行为相关截图 示例样本SHA1:D45FBC0E01DDD64B18BD2F5F171F41CA3BCB88C0
WinRing0.sys是一款开源Windows驱动程序,本身无恶意代码,核心作用是为用户态程序提供底层硬件访问能力,支持访问I/O端口、MSR 寄存器、PCI配置空间、物理内存等,常被用于硬件信息读取、传感器监测、底层调试等合规场景,例如知名挖矿工具XMRig便利用该驱动特性,通过调控MSR寄存器提升挖矿性能。因其具备的内核级访问能力,该驱动常被挖矿、勒索、银狐等恶意程序利用实施BYOVD攻击。恶意程序通常会将加密后的该驱动释放到系统临时目录,解密后通过创建系统服务加载驱动,利用其漏洞结束安全软件进程,致盲系统防护后,执行后续恶意操作。
针对此类恶意利用行为,火绒漏洞驱动拦截功能可直接阻止该驱动的恶意加载,向用户同步拦截提示及相关进程、驱动文件路径信息。对被频繁利用的漏洞驱动,火绒工程师会在研判后决定是否同步进行查杀处置,以进一步加强系统安全防护。
漏洞驱动加载被拦截
面对网络恶意攻击手法的持续迭代,火绒始终以用户的系统安全与使用体验为核心出发点,紧密追踪相关攻击的技术演进与对抗手段升级,不断打磨优化防护技术、完善全维度防护体系,为广大用户筑牢终端安全防线,提供稳定、可靠、安心的系统安全防护。
往期回顾:
冒牌软件暗藏危机:仿冒知名程序加载恶意代码,后门窃取隐私无孔不入
聚焦银狐丨探究病毒肆虐传播背后隐藏的迭代玄机
HUORONG
火绒安全成立于2011年,是一家专注、纯粹的安全公司,致力于在终端安全领域为用户提供专业的产品和专注的服务,并持续对外赋能反病毒引擎等相关自主研发技术。多年来,火绒安全产品凭借“专业、干净、轻巧”的特点收获了广大用户的良好口碑。火绒企业版产品更是针对企业内外网脆弱的环节,拓展了企业对于终端管理的范围和方式,提升了产品的兼容性、易用性,最终实现更直观的将威胁可视化、让管理轻便化,充分达到保护企业信息安全的目的。
求点赞
求分享
求喜欢
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:火绒安全 火绒安全 火绒安全《BYOVD攻击泛滥!火绒专项防护守护系统安全》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论