Reynolds勒索軟體將BYOVD技術與加密酬載結合

資安研究人員發現，新興勒索軟體組織 Reynolds 將易受攻擊的驅動程式直接嵌入勒索軟體酬載中，這是「攜帶式易受攻擊驅動程式」(Bring-Your-Own-Vulnerable-Driver, BYOVD)攻擊手法的創新應用。

Symantec 與 Carbon Black 威脅獵捕團隊在最新報告中指出，他們在一起攻擊事件中發現，攻擊者將易受攻擊的驅動程式直接嵌入 Reynolds 勒索軟體酬載。經進一步分析確認，此酬載屬於名為 Reynolds 的新勒索軟體家族，而非原先認為的 Black Basta。

BYOVD攻擊原理與威脅

在 BYOVD 攻擊中，威脅行為者利用具有提升權限和核心層級存取權限的易受攻擊驅動程式，終止目標系統的安全防護程序。這些驅動程式是 EDR 終結工具（EDR killer）的核心元件，能有效協助勒索軟體入侵。

雖然 EDR 平台通常能阻擋勒索軟體攻擊，但掌握易受攻擊驅動程式的威脅行為者可直接鎖定特定資安產品並將其關閉，就像竊賊在入侵前先停用住宅保全系統。這迫使組織必須部署額外防禦措施，例如使用多種惡意軟體偵測產品，以防 EDR 終結工具被設計來終止特定程序。

傳統上，EDR 終結工具是獨立工具，通常可公開取得。威脅行為者會在部署勒索軟體酬載之前先部署這些工具。例如，勒索軟體附屬組織曾使用名為 AuKill 的 EDR 終結工具，在部署勒索軟體或後門程式之前關閉安全產品。

嵌入式BYOVD的潛在優勢

威脅獵捕團隊發現，Reynolds 將易受攻擊的驅動程式 NsecSoft NSecKrnl 與勒索軟體結合。上個月，NSecKrnl Windows 驅動程式的中等嚴重性漏洞（編號 CVE-2025-68947）被揭露。

威脅獵捕團隊表示，Reynolds 將驅動程式與勒索軟體酬載結合的原因，可能是釋放單一組合檔案比釋放兩個獨立檔案更「隱密」，能降低被偵測的機會。

研究團隊進一步指出，這種做法也可能加速攻擊進程。當防禦規避工具與勒索軟體同時部署時，防禦者沒有機會阻止攻擊。相反地，若防禦者發現可疑驅動程式被釋放到系統上，便有時間在勒索軟體部署前阻止攻擊。

BYOVD成為勒索軟體組織最常用的規避工具

威脅獵捕團隊指出，BYOVD 是勒索軟體攻擊者最常使用的規避工具。過去雖有少數勒索軟體組織將規避元件嵌入酬載，但研究人員表示，他們之前未曾觀察到勒索軟體組織以這種方式捆綁驅動程式。這項創新手法可能使此類產品在駭客中更受歡迎。

威脅獵捕團隊指出，將額外功能與勒索軟體酬載結合，可能簡化攻擊流程，減少執行步驟，使此類酬載對附屬組織更具吸引力。

易受攻擊驅動程式帶來的持續挑戰

Reynolds 攻擊案例再次凸顯易受攻擊與過時驅動程式帶來的危險。不久前，Huntress 研究人員才分享一起攻擊者將 EnCase 數位鑑識套件驅動程式武器化的攻擊事件。儘管該驅動程式的憑證在十多年前已被撤銷，威脅行為者仍成功利用 Microsoft 驅動程式簽章強制執行功能的漏洞。

Symantec 與 Carbon Black 產品會封鎖所有已知的易受攻擊驅動程式。Microsoft 的易受攻擊驅動程式封鎖清單(Windows Defender 的安全功能之一)也會識別並減輕已在惡意活動中被發現的驅動程式。然而，正如許多專家所指出，封鎖清單屬於被動防禦措施，只能在易受攻擊的驅動程式被用於攻擊後，才能阻止後續活動。

專家表示，Microsoft 需要採取更多措施應對驅動程式濫用問題日益嚴重的情況，尤其這些驅動程式往往是由微軟自行簽署。阻止 Windows 載入已撤銷憑證的驅動程式是重要的一步。然而此舉可能影響系統效能，並導致應用程式當機。

Microsoft 回應表示，已建立相關流程協助客戶防範易受攻擊驅動程式的濫用。收到相關報告後會評估影響程度，與發布合作夥伴合作確保修復版本可用，並透過 Microsoft Defender 的分層防護機制降低風險，讓客戶有時間進行更新。待更安全的版本廣泛可用後，Microsoft 會採取進一步行動，例如透過驅動程式封鎖清單封鎖易受攻擊的版本。Microsoft 強調，公司將持續採取審慎且以客戶為中心的策略，在遏止威脅行為者活動的同時，將對依賴這些元件的組織造成的干擾降至最低。

本文轉載自 DarkReading。