网络安全研究人员发现了一种新型的 BYOVD自带漏洞驱动攻击技术能够关闭包括 CrowdStrike Falcon 在内的一流终端安全解决方案。通过逆向分析一个此前未知的 0Day 内核驱动研究人员揭示了威胁攻击者如何利用合法签名的驱动程序完全绕过终端检测与响应EDR系统。BYOVD 攻击原理在 BYOVD 攻击中黑客会在受感染的机器上部署一个受信任但存在缺陷的驱动程序以利用其提升的内核级权限。调查发现该恶意驱动存在超过 15 个不同变种。尽管具备破坏性能力所有变种都携带有效的微软数字签名且未被供应商拦截或吊销。令人担忧的是VirusTotal 等平台的扫描结果显示现代杀毒引擎对其检测率为零。由于该驱动经过签名且受高度信任Windows 系统允许其加载至内核模式而不会触发任何安全警报从而为攻击者提供了隐蔽的立足点。逆向分析 IOCTL 接口研究人员使用 IDA Pro 进行技术分析时绕过了一个经过混淆的入口点来检查驱动程序的核心设备控制处理程序。在清理严重混乱的反编译代码后研究人员发现了一个危险的输入/输出控制IOCTL接口。具体而言IOCTL 代码 0x22E010 会触发专用的进程终止例程。该驱动接受字符串形式的进程 ID使用标准 C 函数将其转换为整数然后执行终止命令。真正的危险在于该驱动如何从内核级别终止安全进程——它使用ZwOpenProcess和ZwTerminateProcess内核函数强制终止活动应用程序。内核级攻击优势在标准用户模式下尝试关闭受保护的进程如 CrowdStrike 的 PPL 服务会立即遭到访问拒绝。但内核级命令能完全绕过这些用户模式保护机制使得驱动程序可以在攻击者部署勒索软件或其他次级有效载荷之前静默终止关键安全代理。为验证该漏洞core-jmp 研究人员在测试环境中动态追踪驱动程序定位到其符号链接\\.\{F8284233–48F4–4680-ADDD-F8284233}。漏洞验证与利用利用该链接及发现的 IOCTL 代码研究人员开发了名为 PoisonKiller 的概念验证漏洞利用程序。当通过标准命令行服务工具加载时该漏洞利用程序成功定位并终止了活动的 CrowdStrike EDR 进程。完整的技术分析和漏洞利用代码已发布在 GitHub 上凸显了现代操作系统在处理已签名的第三方驱动程序时存在的重大盲区。