BYOVD (Bring Your Own Vulnerable Driver, «принеси свой уязвимый драйвер») - это продвинутая техника уклонения от защитных механизмов и эскалации привилегий в области кибербезопасности, при которой злоумышленник использует легитимные, но уязвимые драйверы устройств, официально подписанные доверенными центрами сертификации, для выполнения вредоносных операций в пространстве ядра операционной системы. Эта методика представляет собой эволюцию более старых атак на драйверы, переходя от эксплуатации уязвимостей в драйверах, уже установленных в системе, к целенаправленному внедрению и загрузке конкретного, заранее подобранного драйвера, который содержит критическую уязвимость, позволяющую получить неконтролируемый доступ к привилегированному режиму работы процессора.
Исторически операционные системы, в частности Windows, для обеспечения стабильности и безопасности ввели строгие требования к цифровой подписи драйверов, загружаемых в ядро. Это должно было предотвратить загрузку непроверенного или явно вредоносного кода. Однако система доверенных сертификатов оказалась уязвима в ином аспекте: некоторые легальные компании получали такие сертификаты для подписи своих драйверов, но в самих этих драйверах по причине ошибок программирования существовали критические уязвимости (например, позволяющие произвольную запись в память или чтение привилегированных регистров процессора). Когда такие уязвимости становились публично известными, производители выпускали патчи, но сами драйверы с их «законными» подписями уже существовали в цифровом пространстве. Злоумышленники, обнаружив подобные драйверы, стали включать их в арсенал своих атак, буквально «принося» их в целевую систему.
Механизм атаки BYOVD typically включает несколько этапов:
- Злоумышленник, уже получивший возможность выполнять код в пользовательском режиме (например, через фишинговое письмо или эксплойт), подготавливает и распространяет вредоносный пакет, который включает в себя легитимный исполняемый файл уязвимого драйвера (часто с расширением .sys) и специальную нагрузку.
- Используя стандартные, легальные служебные программы операционной системы (такие как PnPUtil.exe - pnputil.exe /add-driver driver.sys /install) или собственный код, атакующий устанавливает и загружает этот драйвер в ядро. Поскольку драйвер имеет валидную цифровую подпись от доверенного издателя, механизмы защиты, такие как Driver Signature Enforcement (DSE), беспрепятственно пропускают его.
- После успешной загрузки эксплойт использует известную уязвимость в логике этого драйвера для выполнения произвольных операций в пространстве ядра. Это позволяет отключить критически важные функции безопасности — антивирусные решения, системы предотвращения вторжений (EDR), мониторинга процессов, — осуществить прямые манипуляции с памятью, получить доступ к защищенным областям или выполнить нелегитимный код с наивысшими привилегиями.
Ключевая опасность BYOVD заключается в его эффективности против современных систем защиты. Техника использует «белый список» доверенных подписей против самой системы, обходя фундаментальные барьеры. Особую актуальность она приобрела в контексте атак на системы с активными решениями класса EDR, которые сами работают в режиме ядра. Атакуя и отключая их изнутри, злоумышленник получает практически неограниченную свободу действий.
Яркими примерами уязвимых драйверов, использовавшихся в таких атаках, являются RTCore64.sys (от компании Micro-Star), gdrv.sys (от Gigabyte) или dbutil_2_3.sys (от Dell), которые содержали уязвимости, позволявшие осуществлять чтение/запись по произвольным адресам ядра.
Для противодействия BYOVD индустрия кибербезопасности разрабатывает и внедряет комплексные меры. К ним относятся механизмы блокировки списков известных уязвимых драйверов на уровне гипервизора или системы (например, функция «Блокировка уязвимых драйверов» в Windows с использованием Hypervisor-Protected Code Integrity, HVCI), расширенный мониторинг событий загрузки драйверов средствами SIEM-систем, политики разрешения только драйверов, явно включенных в белый список организацией, а также постоянный аудит и обновление баз данных известных проблемных драйверов в агентах безопасности. Таким образом, BYOVD представляет собой изощренную тактику, стирающую грань между легитимным и вредоносным ПО, и борьба с ней требует непрерывного совершенствования как технологий контроля целостности кода, так и практик управления драйверами в корпоративных средах.
