歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
新聞
您現在位置 : 首頁 >
新聞
可繞過1000多個EDR產品!勒索軟體BlackByte使用「自帶驅動程式」技術
2022 / 10 / 10
編輯部
Sophos宣布勒索軟體BlackByte 使用了一項複雜的「自帶驅動程式」技術,用以繞過 1,000 個業界端點偵測和回應 (EDR) 產品使用驅動程式。Sophos 在《刪除所有回呼─BlackByte 勒索軟體透過濫用 RTCore64.sys 停用 EDR》報告中詳細介紹了它的攻擊策略、技術和程序 (TTP)。
BlackByte 在今年稍早被美國特勤局和 FBI 列為對關鍵基礎設施的威脅,短暫消失後於 5 月捲土重來,伴隨著新的資料外洩網站和新的勒索手法。現在,看來該組織也採用了新的攻擊方法。具體來說,
BlackByte 一直是濫用 Windows 系統的圖形公用程式驅動程式 RTCorec6.sys 中的一個漏洞。
這個特定的漏洞讓他們可以直接與目標系統的核心通訊,命令系統停用 EDR 供應商及
ETW (Windows 事件追蹤)
Microsoft-Windows-Threat-Intelligence-Provider 使用的回呼常式。EDR 廠商經常使用這個功能來監控常見被惡意濫用的 API 呼叫;一旦被停用,則依賴此功能的 EDR 廠商將無計可施。
Sophos 威脅研究資深經理 Christopher Budd 表示:「如果您將電腦視為堡壘,那麼對於許多 EDR 廠商而言,ETW 就是大門的守衛。如果守衛倒下,那麼系統的其餘部分就會變得非常脆弱。而且,由於 ETW 廣為許多不同的廠商使用,所以一旦使用 EDR 繞過,BlackByte 可以攻擊的目標就會非常多。」
BlackByte 並不是唯一一個利用「自帶驅動程式」繞過安全產品的勒索軟體。AvosLocker 同樣在 5 月 時濫用不同驅動程式中的漏洞來停用防毒解決方案。
Budd 說:「有趣的是,就我們在這個領域所看到的,EDR 繞過似乎正成為勒索軟體威脅團體間一項很熱門的技術。這並不奇怪,因為威脅行為者通常會利用「進攻性安全」(保護電腦、網路和個人免受攻擊的主動和對抗性方法) 業界開發的工具和技術,以求更快、更輕鬆地發起攻擊。事實上,BlackByte 似乎至少從開源工具 EDRSandblast 中取用了部分 EDR 繞過的方法。
「由於犯罪分子會利用進攻性安全業界的成果,因此防禦人員必須在這些技術廣為網路犯罪分子使用之前時時監控新的規避和入侵技術,並採取防護措施。」
勒索軟體
BlackByte
EDR
自帶驅動程式
端點偵測和回應
AvosLocker
最新活動
2025.06.18
資安人講堂:四大面向打造「無邊界・零信任」極致安全架構
2025.06.25
資安人講堂:構築製造業資安核心 – 零信任架構的落地實戰
2025.06.19
掌握 EOS 風險與升級攻略:別讓舊系統成為資安破口
2025.06.24
漢昕科技X線上資安黑白講【檔案安全新防線,資料外洩零容忍——企業資安全面升級】2025/6/24全面開講!
2025.06.25
拆解 ISO 27001 報價公式:控好預算、加速資安合規
2025.06.27
以資安及風險角度重塑企業韌性
2025.06.27
以資安及風險角度重塑企業韌性
2025.07.09
AI應用下的資安風險
看更多活動
大家都在看
3.5萬套太陽能發電系統暴露於網路成駭客攻擊目標
中國駭客集團發動「ShadowPad」與「PurpleHaze」雙重攻擊,資安商成目標
Microsoft 推出 2025年6月 Patch Tuesday 每月例行更新修補包
新型供應鏈惡意軟體攻擊鎖定 npm 與 PyPI 生態,影響全球數百萬用戶
Mirai 殭屍網路鎖定 Wazuh 開源資安平台漏洞發動攻擊
資安人科技網
文章推薦
Jamf發表AI驅動的Apple裝置管理與強化資安功能
EchoLeak 揭示新型態的零點擊AI資安漏洞「LLM範疇突破」
光盾資訊促台日金融資安高層關鍵對話