新聞
觀點
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
解決方案
活動
訂閱電子報
訂閱電子報
新聞
觀點
解決方案
活動
新聞
您現在位置 : 首頁 >
新聞
Reynolds勒索軟體將BYOVD技術與加密酬載結合
2026 / 02 / 14
編輯部
資安研究人員發現,新興
勒索軟體組織 Reynolds 將易受攻擊的驅動程式直接嵌入勒索軟體酬載中,這是「攜帶式易受攻擊驅動程式」(Bring-Your-Own-Vulnerable-Driver, BYOVD)攻擊手法的創新應用。
Symantec 與 Carbon Black 威脅獵捕團隊在最新報告中指出,他們在一起攻擊事件中發現,攻擊者將易受攻擊的驅動程式直接嵌入 Reynolds 勒索軟體酬載。經進一步分析確認,此酬載屬於名為 Reynolds 的新勒索軟體家族,而非原先認為的 Black Basta。
BYOVD攻擊原理與威脅
在 BYOVD 攻擊中,威脅行為者利用具有提升權限和核心層級存取權限的易受攻擊驅動程式,終止目標系統的安全防護程序。這些驅動程式是 EDR 終結工具(EDR killer)的核心元件,能有效協助勒索軟體入侵。
雖然 EDR 平台通常能阻擋勒索軟體攻擊,但掌握易受攻擊驅動程式的威脅行為者可直接鎖定特定資安產品並將其關閉,就像竊賊在入侵前先停用住宅保全系統。這迫使組織必須部署額外防禦措施,例如使用多種惡意軟體偵測產品,以防 EDR 終結工具被設計來終止特定程序。
傳統上,EDR 終結工具是獨立工具,通常可公開取得。威脅行為者會在部署勒索軟體酬載之前先部署這些工具。例如,勒索軟體附屬組織曾使用名為 AuKill 的 EDR 終結工具,在部署勒索軟體或後門程式之前關閉安全產品。
嵌入式BYOVD的潛在優勢
威脅獵捕團隊發現,
Reynolds 將易受攻擊的驅動程式 NsecSoft NSecKrnl 與勒索軟體結合
。上個月,NSecKrnl Windows 驅動程式的中等嚴重性漏洞(編號 CVE-2025-68947)被揭露。
威脅獵捕團隊表示,Reynolds 將驅動程式與勒索軟體酬載結合的原因,可能是
釋放單一組合檔案比釋放兩個獨立檔案更「隱密」,能降低被偵測的機會。
研究團隊進一步指出,這種做法也可能加速攻擊進程。當防禦規避工具與勒索軟體同時部署時,防禦者沒有機會阻止攻擊。相反地,若防禦者發現可疑驅動程式被釋放到系統上,便有時間在勒索軟體部署前阻止攻擊。
BYOVD成為勒索軟體組織最常用的規避工具
威脅獵捕團隊指出,BYOVD 是勒索軟體攻擊者最常使用的規避工具。過去雖有少數勒索軟體組織將規避元件嵌入酬載,但研究人員表示,他們之前未曾觀察到勒索軟體組織以這種方式捆綁驅動程式。這項創新手法可能使此類產品在駭客中更受歡迎。
威脅獵捕團隊指出,將額外功能與勒索軟體酬載結合,可能簡化攻擊流程,減少執行步驟,使此類酬載對附屬組織更具吸引力。
易受攻擊驅動程式帶來的持續挑戰
Reynolds 攻擊案例再次凸顯易受攻擊與過時驅動程式帶來的危險。不久前,Huntress 研究人員才分享一起攻擊者將 EnCase 數位鑑識套件驅動程式武器化的攻擊事件。儘管該驅動程式的憑證在十多年前已被撤銷,威脅行為者仍成功利用 Microsoft 驅動程式簽章強制執行功能的漏洞。
Symantec 與 Carbon Black 產品會封鎖所有已知的易受攻擊驅動程式。Microsoft 的易受攻擊驅動程式封鎖清單(Windows Defender 的安全功能之一)也會識別並減輕已在惡意活動中被發現的驅動程式。然而,正如許多專家所指出,
封鎖清單屬於被動防禦措施,只能在易受攻擊的驅動程式被用於攻擊後,才能阻止後續活動。
專家表示,Microsoft 需要採取更多措施應對驅動程式濫用問題日益嚴重的情況,尤其這些驅動程式往往是由微軟自行簽署。阻止 Windows 載入已撤銷憑證的驅動程式是重要的一步。然而此舉可能影響系統效能,並導致應用程式當機。
Microsoft 回應表示,已建立相關流程協助客戶防範易受攻擊驅動程式的濫用。收到相關報告後會評估影響程度,與發布合作夥伴合作確保修復版本可用,並透過 Microsoft Defender 的分層防護機制降低風險,讓客戶有時間進行更新。待更安全的版本廣泛可用後,Microsoft 會採取進一步行動,例如透過驅動程式封鎖清單封鎖易受攻擊的版本。Microsoft 強調,公司將持續採取審慎且以客戶為中心的策略,在遏止威脅行為者活動的同時,將對依賴這些元件的組織造成的干擾降至最低。
本文轉載自 DarkReading。
Reynolds
BYOVD
EDR終結工具
最新活動
2026.07.22
2026 政府資安論壇
2026.07.09
7/9-7/10【軟體開發安全意識與 .NET/Java 安全程式開發】兩日集訓班
2026.07.14
2026迎戰合規新局上市櫃企業資安治理與風險評估實戰解析
2026.07.15
資安新興技術、AI應用與全球發展趨勢解析
2026.07.15
資安新興技術、AI應用與全球發展趨勢解析
2026.07.29
半導體與高科技園區資安防護
2026.07.30
Azure 雲端轉型研討會|雲端 x AI x 資安
看更多活動
大家都在看
超越人類監督:前沿 AI 時代的新挑戰與應對
傳統防火牆只看 IP,語意防火牆看「意圖」:林宜隆教授解析神經符號架構與 AI 治理三標準如何聯手對抗工業化攻擊
Jamf 推出 Mac 原生的 AI 治理解決方案
Sophos 與 Rubrik 攜手推出由 Rubrik Cyber Resilience 技術支援的 Microsoft 365 備份與復原服務
美國非營利開源基金會推出「開源永續倡議」,提升生命週期終止的開源軟體安全
資安人科技網
文章推薦
首起AI代理全自動攻擊?JadePuffer 勒索軟體凸顯「代理人式威脅行為者」時代到
朔宇科技成為 Barracuda 台灣代理商,強攻中小企業資安盲區
【實錄】漏洞從發現到遭利用縮短至數小時,AI 正在重寫企業資安的時間表