多家國際網(wǎng)絡(luò)安全公司披露了一種利用舊版本驅(qū)動程序進(jìn)行攻擊的新型勒索木馬技術(shù)。這種被稱為“驅(qū)動降級攻擊”(Driver Downgrade Attack)的攻擊方式,正在成為黑客突破系統(tǒng)防線、提升權(quán)限并部署勒索軟件的新手段。
攻擊原理:利用“合法”驅(qū)動的已知漏洞
該攻擊的核心在于,黑客利用了一個常被忽視的安全薄弱環(huán)節(jié)——數(shù)字簽名合法的舊版驅(qū)動程序。許多硬件廠商發(fā)布的驅(qū)動程序在更新過程中會修復(fù)安全漏洞,但舊版驅(qū)動程序的數(shù)字簽名通常不會被吊銷。攻擊者通過技術(shù)手段,誘使或強制目標(biāo)系統(tǒng)“降級”安裝一個含有已知高危漏洞的舊版合法驅(qū)動程序。
由于該驅(qū)動擁有廠商的有效數(shù)字簽名,它能順利通過操作系統(tǒng)的安全驗證,被系統(tǒng)信任并加載。一旦加載成功,攻擊者便可利用該驅(qū)動程序中已被公開但未在受害者當(dāng)前系統(tǒng)上修復(fù)的漏洞,以內(nèi)核級權(quán)限執(zhí)行惡意代碼,從而完全掌控系統(tǒng)。
攻擊鏈條:從驅(qū)動降級到勒索加密
典型的攻擊流程分為三步:
- 初始入侵與降級:攻擊者首先通過釣魚郵件、漏洞利用或其他方式獲得系統(tǒng)的初始立足點(通常是用戶級權(quán)限)。他們在受害機器上卸載當(dāng)前的安全驅(qū)動版本,并安裝攜帶漏洞的特定舊版本驅(qū)動程序。
- 權(quán)限提升:利用舊版驅(qū)動中的漏洞(例如,CVE編號披露過的內(nèi)存破壞漏洞),攻擊者精心構(gòu)造攻擊載荷,觸發(fā)漏洞,成功將權(quán)限從普通的用戶權(quán)限提升至最高的內(nèi)核權(quán)限。
- 部署勒索:獲得內(nèi)核權(quán)限后,系統(tǒng)的一切安全防護(hù)(如防病毒軟件、端點檢測)形同虛設(shè)。攻擊者此時可以無所顧忌地部署勒索軟件,加密用戶文件、竊取敏感數(shù)據(jù),并留下勒索通知。
對信息安全軟件開發(fā)的挑戰(zhàn)與啟示
這一攻擊手法的出現(xiàn),給信息安全領(lǐng)域帶來了新的挑戰(zhàn)和深刻啟示:
- 信任模型的反思:過度依賴“數(shù)字簽名即安全”的靜態(tài)信任模型存在風(fēng)險。安全軟件需要引入更動態(tài)的行為評估機制,不能僅因為驅(qū)動有合法簽名就放任其進(jìn)行敏感內(nèi)核操作。
- 供應(yīng)鏈安全重要性凸顯:驅(qū)動程序的來源和版本管理成為安全關(guān)鍵點。安全軟件應(yīng)具備檢測和阻止非常規(guī)驅(qū)動程序安裝(尤其是版本回退)的能力,并對加載的驅(qū)動程序進(jìn)行漏洞關(guān)聯(lián)性分析。
- 縱深防御需加強:單一的防護(hù)點極易被繞過。必須構(gòu)建從應(yīng)用層、系統(tǒng)層到固件層的縱深防御體系。例如,啟用“內(nèi)存完整性”(Memory Integrity)等基于虛擬化的安全功能,可以增加攻擊者利用內(nèi)核漏洞的難度。
- 主動威脅狩獵:安全團(tuán)隊?wèi)?yīng)主動在資產(chǎn)中掃描已知存在高危漏洞的舊版驅(qū)動程序,無論其是否擁有合法簽名,并將其視為潛在風(fēng)險進(jìn)行更新或隔離。
- 開發(fā)安全(DevSecOps)的延伸:硬件和驅(qū)動開發(fā)商需建立更完善的驅(qū)動生命周期安全管理,包括考慮在修復(fù)高危漏洞后,通過合作機制吊銷舊版驅(qū)動的簽名,或提供強制更新工具。
防護(hù)建議
對于企業(yè)和個人用戶,應(yīng)對此類威脅可采取以下措施:
- 嚴(yán)格管理驅(qū)動安裝:僅允許從官方或受信任的來源安裝和更新驅(qū)動程序,并啟用策略禁止用戶自行安裝驅(qū)動。
- 及時更新:不僅操作系統(tǒng)和應(yīng)用軟件要及時打補丁,所有硬件驅(qū)動程序也應(yīng)保持最新狀態(tài)。
- 啟用高級安全功能:在支持的系統(tǒng)上,務(wù)必開啟如Windows Defender系統(tǒng)防護(hù)(包括核心隔離、內(nèi)存完整性)等基于硬件的安全特性。
- 部署下一代端點保護(hù):采用具備行為檢測、漏洞利用阻止和攻擊指標(biāo)狩獵能力的現(xiàn)代端點安全解決方案。
- 定期審計與清點:定期審查系統(tǒng)內(nèi)所有已安裝的驅(qū)動程序,識別并移除老舊、非必需或存在已知風(fēng)險的驅(qū)動。
“驅(qū)動降級攻擊”揭示了現(xiàn)代網(wǎng)絡(luò)攻擊中利用合法軟件供應(yīng)鏈漏洞的復(fù)雜性和隱蔽性。它提醒我們,在信息安全開發(fā)與防御中,必須持續(xù)審視和加固每一個被視為可信的環(huán)節(jié),構(gòu)建動態(tài)、智能、多層次的主動防御體系,才能有效應(yīng)對不斷進(jìn)化的威脅。