محققان امنیت سایبری اخیراً یک باجافزار جدید به نام Reynolds را شناسایی کردهاند که در آن یک درایور آسیبپذیر به طور مستقیم در پیلود باجافزار جاسازی شده است. این حمله نمونهای جدید از تکنیک BYOVD (Bring-Your-Own-Vulnerable-Driver) محسوب میشود که به مهاجمان اجازه میدهد مکانیزمهای امنیتی سیستمهای هدف را غیرفعال کرده و بدافزار را به طور مستقیم اجرا کنند.
BYOVD چیست و چگونه کار میکند؟
در حملات BYOVD، مهاجمان از یک درایور نرمافزاری آسیبپذیر با دسترسی سطح کرنل (kernel-level) به ویندوز استفاده میکنند تا مکانیزمهای امنیتی و EDR (Endpoint Detection and Response) هدف را غیرفعال کنند. این درایورها که به ابزارهای EDR killer معروف هستند، اثربخشی بالایی در اجرای باجافزار دارند.
EDR killerها معمولاً ابزارهای مستقل و عمومی هستند که قبل از تحویل پیلود باجافزار اجرا میشوند. به عنوان مثال، پیشتر ابزار AuKill برای غیرفعالکردن محصولات امنیتی قبل از اجرای باجافزار یا بکدور استفاده شده است.
حملات BYOVD باعث میشوند سازمانها مجبور به اعمال تدابیر اضافی مانند اجرای همزمان چند محصول تشخیص بدافزار شوند تا احتمال غیرفعالشدن همه آنها کاهش یابد.
Reynolds و جاسازی درایور آسیبپذیر در پیلود
تیم Threat Hunter شرکتهای Symantec و Carbon Black در گزارش خود اعلام کردند که یک درایور آسیبپذیر به نام NsecSoft NSecKrnl مستقیماً در پیلود باجافزار Reynolds جاسازی شده است. این درایور دارای آسیبپذیری با شناسه CVE-2025-68947 است که ماه گذشته افشا شده بود.
نکات کلیدی این رویکرد:
- جاسازی درایور آسیبپذیر و باجافزار در قالب یک فایل واحد، اجرای حمله را بیسروصدا و مخفیانه میکند و احتمال شناسایی توسط مکانیزمهای امنیتی را کاهش میدهد.
- فاصله زمانی بین اجرای ابزار فرار از دفاع (EDR killer) و استقرار باجافزار از بین میرود، بنابراین مدافعان فرصت کمتری برای شناسایی و توقف حمله دارند.
- این روش برای شرکای توزیع باجافزار جذابتر است، زیرا مراحل اجرای حمله کاهش یافته و عملیات سریعتر انجام میشود.
با این حال، طبق گزارش تیم Threat Hunter، این حمله تنها تا حدی موفق بوده است، چرا که برخی محصولات امنیتی، از جمله Symantec، همچنان فعال باقی مانده و مانع اجرای کامل عملیات رمزگذاری شدهاند.
زنجیره حمله
زنجیره حمله به این صورت است:
- درایور آسیبپذیر NSecKrnl مکانیزمهای امنیتی شناختهشده (EDR)، از جمله Symantec را هدف قرار میدهد.
- باجافزار Reynolds پس از اجرای پیلود، اقدام به رمزگذاری برخی فایلها میکند.
- ترکیب درایور و باجافزار مراحل حمله را کاهش داده و احتمال موفقیت را افزایش میدهد.
این حمله نمونهای از محبوبیت رو به رشد تکنیک BYOVD در میان عوامل تهدید باجافزار است که به دنبال اجرای یکپارچه و سریع مکانیزمهای فرار از دفاع هستند.
چالشها و توصیهها
استفاده از درایورهای آسیبپذیر همچنان یکی از خطرناکترین ابزارهای تهدید برای باجافزارها است. حتی در مواردی که گواهی یک درایور سالها پیش باطل شده باشد، مهاجمان قادر به سوءاستفاده از ضعفهای Driver Signature Enforcement در ویندوز هستند.
توصیههای امنیتی فوری
اقدامات زیر به منظور کاهش ریسک این نوع حملات توصیه میشود:
- به روزرسانی تمام نسخههای آسیبپذیر ویندوز و نرمافزارهای مرتبط
- استفاده از چندین محصول تشخیص بدافزار برای کاهش اثر EDR killer
- مانیتورینگ و محدودسازی فعالیت درایورهای ناشناخته یا غیرمجاز
بیانیه مایکروسافت:
ما امنیت مشتریان را جدی میگیریم و به منظور کاهش ریسک از ابزارهای محافظتی چند لایه مانند Microsoft Defender و Vulnerable Driver Blocklist استفاده میکنیم. همچنین، پس از انتشار نسخههای امن، اقدامات اضافی مانند مسدودسازی نسخههای آسیبپذیر انجام میدهیم تا تهدیدات ناشی از درایورهای آسیبپذیر به حداقل برسد.
جمعبندی تحلیلی
حملات BYOVD بهعنوان یکی از رایجترین ابزارهای دورزدن مکانیزمهای دفاعی در حملات باجافزار شناخته میشوند. جاسازی درایورهای آسیبپذیر در پیلود باجافزار، اجرای حمله را سادهتر و سریعتر میکند و شانس موفقیت مهاجمان را افزایش میدهد.
سازمانها برای مقابله با این تهدید باید نسبت به استفاده از درایورهای آسیبپذیر، مانیتورینگ فعالیت درایورها و اجرای روشهای پیشگیرانه امنیتی حساس باشند تا از نفوذ بدافزار و غیرفعال شدن مکانیزمهای دفاعی جلوگیری کنند.
