网络威胁者利用已吊销EnCase驱动程序开发高级EDR终结工具

攻击者将已吊销取证驱动程序武器化为EDR终结工具

安全研究人员近期发现一种新型EDR（终端检测与响应）终结工具，该工具利用Guidance Software EnCase取证软件中一款合法但已被吊销的签名内核驱动程序。此工具旨在规避检测并禁用安全防护，凸显了**“Living-off-the-Land”（LotL，利用合法组件发起攻击）**的攻击趋势日益增长。

攻击关键细节

• 驱动程序来源：该工具滥用EnCase的encase.sys内核驱动程序，该驱动程序曾数字签名但于2022年被厂商吊销，原因是存在滥用报告。
• EDR终结功能：恶意软件扫描59款安全产品，包括EDR、杀毒软件及监控工具，并尝试终止其进程或禁用其服务。
• 攻击向量：攻击者通过**“自带易受攻击驱动程序”（BYOVD）**技术加载该驱动程序，绕过Windows驱动程序签名强制（DSE）保护机制。
• 检测规避：通过使用已签名（但已吊销）的驱动程序，攻击者利用合法软件的信任机制，在不被察觉的情况下执行内核级操作。

漏洞利用技术分析

encase.sys驱动程序最初设计用于取证调查中的低级磁盘访问，具备直接内存操作的功能。攻击者利用此功能实现以下操作：

• 枚举运行进程并识别安全工具。
• 终止或暂停与EDR、杀毒软件及日志记录解决方案相关的进程。
• 修改内核结构，规避安全软件的检测。

此处使用的BYOVD技术尤为令人担忧，因为它绕过了Windows通常用于阻止未签名驱动程序的安全机制。尽管微软已吊销该驱动程序的签名，但攻击者仍可在禁用驱动程序签名强制或通过易受攻击的引导配置的系统上加载该驱动程序。

对安全运营的影响

此EDR终结工具的使用给企业安全带来重大风险：

• 禁用关键防护：通过中和EDR和杀毒工具，攻击者可在不被检测的情况下执行勒索软件、数据窃取或横向移动。
• 持久化挑战：内核级访问允许攻击者在系统重启后仍保持持久化。
• 取证盲区：该工具禁用日志记录和监控工具的能力掩盖攻击痕迹，增加事件响应的复杂性。

缓解与响应建议

安全团队应采取以下措施防御此威胁：

1. 阻止已知恶意驱动程序

   • 通过Windows Defender应用程序控制（WDAC）或Microsoft Defender for Endpoint部署驱动程序阻止列表，防止加载已吊销的驱动程序（如encase.sys）。
   • 监控终端日志中的异常驱动程序加载事件。

2. 强制实施驱动程序签名强制

   • 确保启用Secure Boot（安全启动）和驱动程序签名强制，防止未签名或已吊销的驱动程序执行。

3. 增强终端监控

   • 使用行为检测识别尝试终止安全软件或修改内核内存的进程。
   • 部署具备内核级可见性的EDR解决方案，检测并阻止可疑的驱动程序活动。

4. 事件响应准备

   • 制定BYOVD攻击应对手册，包括隔离受影响系统和恢复可信驱动程序的步骤。
   • 开展威胁狩猎，查找已禁用安全工具或未经授权的驱动程序安装的迹象。

结论

此次攻击凸显了EDR规避技术日益复杂，尤其是滥用已签名但已吊销的驱动程序。安全团队必须强化终端防御、监控基于驱动程序的威胁，并做好快速响应准备，以缓解此类工具带来的风险。

更多详情，请参阅BleepingComputer的原始报告。