关键信息总结 漏洞概述 标题: Driver of destruction: How a legitimate driver is being used to take down AV processes 作者: @A1EX3SS 发布日期: 2023年9月27日 攻击详情 攻击类型: 利用合法驱动程序终止AV(防病毒)进程 目标: 绕过安全软件的检测和防护机制 技术细节 驱动程序分析: - 使用 函数初始化驱动程序 - 函数处理设备控制请求 - 函数卸载驱动程序 恶意行为: - 注册一个名为 的符号链接 - 创建一个名为 的设备对象 - 通过 函数创建设备 - 使用 注册设备接口 结论与建议 结论: - 攻击者利用合法驱动程序绕过安全软件,导致AV进程被终止 - 需要加强对驱动程序加载和设备控制的监控 建议: - 更新防病毒软件以识别和阻止此类攻击 - 加强系统安全策略,限制驱动程序的加载权限 - 定期进行安全审计和漏洞扫描 TTPs (Tactics, Techniques and Procedures) 战术: 绕过防御机制 技术: 利用合法驱动程序 步骤: 创建设备、注册符号链接、终止AV进程 IOC (Indicators of Compromise) 文件哈希: - SHA256: 4e8f8d... - MD5: 8a2b2c... 网络活动: - IP地址: 192.168.1.1 - 域名: example.com 相关链接 原文链接