歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
新聞
您現在位置 : 首頁 >
新聞
可繞過1000多個EDR產品!勒索軟體BlackByte使用「自帶驅動程式」技術
2022 / 10 / 10
編輯部
Sophos宣布勒索軟體BlackByte 使用了一項複雜的「自帶驅動程式」技術,用以繞過 1,000 個業界端點偵測和回應 (EDR) 產品使用驅動程式。Sophos 在《刪除所有回呼─BlackByte 勒索軟體透過濫用 RTCore64.sys 停用 EDR》報告中詳細介紹了它的攻擊策略、技術和程序 (TTP)。
BlackByte 在今年稍早被美國特勤局和 FBI 列為對關鍵基礎設施的威脅,短暫消失後於 5 月捲土重來,伴隨著新的資料外洩網站和新的勒索手法。現在,看來該組織也採用了新的攻擊方法。具體來說,
BlackByte 一直是濫用 Windows 系統的圖形公用程式驅動程式 RTCorec6.sys 中的一個漏洞。
這個特定的漏洞讓他們可以直接與目標系統的核心通訊,命令系統停用 EDR 供應商及
ETW (Windows 事件追蹤)
Microsoft-Windows-Threat-Intelligence-Provider 使用的回呼常式。EDR 廠商經常使用這個功能來監控常見被惡意濫用的 API 呼叫;一旦被停用,則依賴此功能的 EDR 廠商將無計可施。
Sophos 威脅研究資深經理 Christopher Budd 表示:「如果您將電腦視為堡壘,那麼對於許多 EDR 廠商而言,ETW 就是大門的守衛。如果守衛倒下,那麼系統的其餘部分就會變得非常脆弱。而且,由於 ETW 廣為許多不同的廠商使用,所以一旦使用 EDR 繞過,BlackByte 可以攻擊的目標就會非常多。」
BlackByte 並不是唯一一個利用「自帶驅動程式」繞過安全產品的勒索軟體。AvosLocker 同樣在 5 月 時濫用不同驅動程式中的漏洞來停用防毒解決方案。
Budd 說:「有趣的是,就我們在這個領域所看到的,EDR 繞過似乎正成為勒索軟體威脅團體間一項很熱門的技術。這並不奇怪,因為威脅行為者通常會利用「進攻性安全」(保護電腦、網路和個人免受攻擊的主動和對抗性方法) 業界開發的工具和技術,以求更快、更輕鬆地發起攻擊。事實上,BlackByte 似乎至少從開源工具 EDRSandblast 中取用了部分 EDR 繞過的方法。
「由於犯罪分子會利用進攻性安全業界的成果,因此防禦人員必須在這些技術廣為網路犯罪分子使用之前時時監控新的規避和入侵技術,並採取防護措施。」
勒索軟體
BlackByte
EDR
自帶驅動程式
端點偵測和回應
AvosLocker
最新活動
2025.07.18
2025 政府資安高峰論壇
2025.07.24
2025 中部製造業資安論壇
2025.07.09
AI應用下的資安風險
2025.07.10
防毒、EDR、MDR 到底差在哪?從真實攻擊情境看懂端點防護的導入路線圖
2025.07.17
AI仿真內容滲透日常,如何有效提升員工 系統「辨識力」
2025.07.18
零信任與網路安全架構
2025.07.18
『Silverfort 身份安全平台』與『SecurEnvoy Access Management 存取管理』網路研討會
2025.07.23
照過來👀 2025 ISFP 新創募資實戰系列課程 開跑囉🏃♂️~ 募資不求人!從財務內功到投資攻心術一次掌握~ 趕緊立即報名✌️
2025.09.05
從零開始學IT網路 – 5 天帶你掌握 IT 網路核心、拿下國際認證!
看更多活動
大家都在看
中國駭客組織「銀狐」假冒DeepSeek安裝程式 鎖定台灣進行網路間諜攻擊
Cloudflare率先預設封鎖AI爬蟲 網站擁有者可自主決定內容授權
駭客濫用PDF冒充微軟、DocuSign等品牌 回撥式釣魚攻擊激增
超過 200 個針對遊戲玩家和開發者的惡意 GitHub 程式庫攻擊活動曝光
勒索軟體攻擊手法升級:Python腳本結合Microsoft Teams釣魚成新威脅
資安人科技網
文章推薦
新型勒索軟體「Bert」鎖定醫療與科技業,跨國攻擊威脅升級
Amazon Prime Day購物季成詐騙溫床,逾千個惡意網域瞄準消費者
報告:不到三成企業具備了解API中敏感資料暴露情況的能力