卡巴斯基專家稱，攻擊者正越來越多地利用包含漏洞的驅動程序來攻擊 Windows。2024年第二季度，遭受這種技術攻擊的系統(tǒng)數(shù)量較第一季度增長了23%。包含漏洞的驅動程序可被用于廣泛的攻擊，包括勒索軟件和高級持續(xù)性威脅（APT）。

利用包含漏洞的驅動程序的網(wǎng)絡攻擊被稱為 BYOVD（自帶漏洞的驅動程序）。它們允許攻擊者嘗試禁用系統(tǒng)上的安全解決方案并提升權限，使他們能夠執(zhí)行各種惡意活動，例如安裝勒索軟件或建立持久性以進行間諜活動或破壞，特別是如果高級持續(xù)性威脅（APT）組織是攻擊的幕后黑手。

卡巴斯基報告稱，這種攻擊技術在2023年加速發(fā)展，目前勢頭正猛，對個人和組織都有潛在影響。2024年第二季度，遭到使用BYOVD技術攻擊的系統(tǒng)數(shù)量比上一季度增加了近23%。

利用包含漏洞的驅動程序進行攻擊的動態(tài)變化

“盡管這些驅動程序本身是合法的，但它們可能包含漏洞。這些漏洞可能被用于惡意目的。攻擊者使用各種工具和方法在系統(tǒng)中安裝有漏洞的驅動程序。一旦操作系統(tǒng)加載了這個驅動程序，攻擊者就可以利用它來規(guī)避操作系統(tǒng)內核的安全邊界，從而達到自己的目的，”卡巴斯基反惡意軟件研究負責人Vladimir Kuskov揭示說。

這一趨勢帶來的另一個令人擔憂的問題是，利用包含漏洞的驅動程序的工具激增——這些工具可以在網(wǎng)上找到。盡管到2024年這些工具相對較少——自2021年以來只有24個項目被發(fā)布——但卡巴斯基專家觀察到去年這些工具在網(wǎng)上的發(fā)布數(shù)量有所增加?！半m然沒有什么能真正阻止威脅行為者開發(fā)他們自己的私人工具，但公開可用的工具消除了研究和利用包含漏洞的驅動程序所需的特定技能。僅在 2023年，我們就發(fā)現(xiàn)大約 16 種這種性質的新工具，這標志著與前幾年觀察到的僅僅一兩個工具相比有了大幅增加。鑒于這種增長，強烈建議對所有系統(tǒng)都實施強有力的保護措施，”Vladimir Kuskov解釋說。

為了應對利用驅動漏洞的相關威脅，以下措施是有效的：

·徹底了解您的基礎設施并密切監(jiān)控其資產(chǎn)，重點關注邊界。

·要保護企業(yè)免受各種威脅的侵害，可使用卡巴斯基 Next產(chǎn)品系列的解決方案。該解決方案可為任何規(guī)模和行業(yè)的組織提供實時保護、威脅可見性、調查和響應能力，并保護系統(tǒng)免受驅動程序漏洞被利用。

·實施補丁管理流程，檢測基礎設施中的包含漏洞的軟件，并及時安裝安全補丁。卡巴斯基端點安全和卡巴斯基漏洞數(shù)據(jù)源等解決方案可在這方面提供幫助。

·定期進行安全評估，以識別和修補漏洞，防止它們成為攻擊者的入口。

更多有關2024年第二季度漏洞和漏洞利用威脅情況詳情，請訪問Securelist。第十六屆卡巴斯基安全分析師峰會（SAS）將于2024年10月22日至25日在巴厘島舉行，屆時您將深入了解不斷變化的網(wǎng)絡威脅世界，并進行深入交流。