卡巴斯基專家稱,攻擊者正越來越多地利用包含漏洞的驅(qū)動程序來攻擊 Windows。2024年第二季度,遭受這種技術(shù)攻擊的系統(tǒng)數(shù)量較第一季度增長了23%。包含漏洞的驅(qū)動程序可被用于廣泛的攻擊,包括勒索軟件和高級持續(xù)性威脅(APT)。
利用包含漏洞的驅(qū)動程序的網(wǎng)絡(luò)攻擊被稱為 BYOVD(自帶漏洞的驅(qū)動程序)。它們允許攻擊者嘗試禁用系統(tǒng)上的安全解決方案并提升權(quán)限,使他們能夠執(zhí)行各種惡意活動,例如安裝勒索軟件或建立持久性以進行間諜活動或破壞,特別是如果高級持續(xù)性威脅(APT)組織是攻擊的幕后黑手。
卡巴斯基報告稱,這種攻擊技術(shù)在2023年加速發(fā)展,目前勢頭正猛,對個人和組織都有潛在影響。2024年第二季度,遭到使用BYOVD技術(shù)攻擊的系統(tǒng)數(shù)量比上一季度增加了近23%。
利用包含漏洞的驅(qū)動程序進行攻擊的動態(tài)變化
“盡管這些驅(qū)動程序本身是合法的,但它們可能包含漏洞。這些漏洞可能被用于惡意目的。攻擊者使用各種工具和方法在系統(tǒng)中安裝有漏洞的驅(qū)動程序。一旦操作系統(tǒng)加載了這個驅(qū)動程序,攻擊者就可以利用它來規(guī)避操作系統(tǒng)內(nèi)核的安全邊界,從而達到自己的目的,”卡巴斯基反惡意軟件研究負責人Vladimir Kuskov揭示說。
這一趨勢帶來的另一個令人擔憂的問題是,利用包含漏洞的驅(qū)動程序的工具激增——這些工具可以在網(wǎng)上找到。盡管到2024年這些工具相對較少——自2021年以來只有24個項目被發(fā)布——但卡巴斯基專家觀察到去年這些工具在網(wǎng)上的發(fā)布數(shù)量有所增加!半m然沒有什么能真正阻止威脅行為者開發(fā)他們自己的私人工具,但公開可用的工具消除了研究和利用包含漏洞的驅(qū)動程序所需的特定技能。僅在 2023年,我們就發(fā)現(xiàn)大約 16 種這種性質(zhì)的新工具,這標志著與前幾年觀察到的僅僅一兩個工具相比有了大幅增加。鑒于這種增長,強烈建議對所有系統(tǒng)都實施強有力的保護措施,”Vladimir Kuskov解釋說。
為了應(yīng)對利用驅(qū)動漏洞的相關(guān)威脅,以下措施是有效的:
· 徹底了解您的基礎(chǔ)設(shè)施并密切監(jiān)控其資產(chǎn),重點關(guān)注邊界。
· 要保護企業(yè)免受各種威脅的侵害,可使用卡巴斯基 Next 產(chǎn)品系列的解決方案。該解決方案可為任何規(guī)模和行業(yè)的組織提供實時保護、威脅可見性、調(diào)查和響應(yīng)能力,并保護系統(tǒng)免受驅(qū)動程序漏洞被利用。
· 實施補丁管理流程,檢測基礎(chǔ)設(shè)施中的包含漏洞的軟件,并及時安裝安全補丁?ò退够它c安全和卡巴斯基漏洞數(shù)據(jù)源等解決方案可在這方面提供幫助。
· 定期進行安全評估,以識別和修補漏洞,防止它們成為攻擊者的入口。
更多有關(guān)2024年第二季度漏洞和漏洞利用威脅情況詳情,請訪問Securelist。第十六屆卡巴斯基安全分析師峰會(SAS)將于2024年10月22日至25日在巴厘島舉行,屆時您將深入了解不斷變化的網(wǎng)絡(luò)威脅世界,并進行深入交流。
關(guān)于卡巴斯基
卡巴斯基是一家成立于1997年的全球網(wǎng)絡(luò)安全和數(shù)字隱私公司。迄今為止,卡巴斯基已保護超過十億臺設(shè)備免受新興網(wǎng)絡(luò)威脅和針對性攻擊?ò退够粩鄬⑸疃韧{情報和安全技術(shù)轉(zhuǎn)化成創(chuàng)新的安全解決方案和服務(wù),為全球的企業(yè)、關(guān)鍵基礎(chǔ)設(shè)施、政府和消費者提供安全保護。公司提供全面的安全產(chǎn)品組合,包括領(lǐng)先的端點保護解決方案以及多種針對性的安全解決方案和服務(wù),以及用于應(yīng)對復雜和不斷變化的數(shù)字威脅的網(wǎng)絡(luò)免疫解決方案。我們還幫助全球220,000家企業(yè)客戶保護最重要的東西。要了解更多詳情,請訪問www.kaspersky.com.