【BYOVD攻撃】
◆AuKill (まとめ)
https://malware-log.hatenablog.com/entry/AuKill
【辞書】
◆BYOVD攻撃とは【用語集詳細】 (SOMPO CYBER SECURITY)
https://www.sompocybersecurity.com/column/glossary/byovd
【概要】
■BYOVD攻撃を使用する攻撃組織
| 項目 |
内容 |
|---|---|
| Lazarus | FudModuleルートキットを使用してDellドライバのバグを悪用 |
| ロシアAPT | |
| BlackByte | |
| Cuba | |
| Medusa | 「ABYSSWORKER」と呼ばれる悪意のあるドライバを使用 |
| Scattered Spider | |
| LockBit | |
| Hunter Ransom Group | |
| RansomHub | EDRKillShifterというツールを使用 |
| Qilin | |
| Kasseika |
■BYOVD攻撃で利用されるドライバ
| アプリ |
使用されたドライバ |
脆弱性 |
備考 |
|---|---|---|---|
| Paragon Partition Manager | BioNTdrv.sys | CVE-2025-0289 | |
| ZAM | zamguard64.sys | CVE-2024-1853 | Zemana Driver |
| VirIT | viragt64.sys Martini.sys |
TG Soft | |
| MSI Afterburner | RtCore64.sys | ||
| Dell | DBUtil_2_3.sys | ||
| GIGABYTE | gdrv.sys | ||
| RentDrv2 | BadRentdrv2を使用 | ||
| ThreatFireMonitor |
【ニュース】
■2022年
◇2022年7月
◆Google Chromeのゼロデイ脆弱性が中東のジャーナリストを狙う攻撃に悪用 (マイナビニュース, 2022/07/27 08:12)
https://news.mynavi.jp/techplus/article/20220727-2408480/
⇒ https://malware-log.hatenablog.com/entry/2022/07/27/000000_1
◇2022年10月
◆Lazarus hackers abuse Dell driver bug using new FudModule rootkit (BleepingComputer, 2022/10/01 10:05)
[Lazarusハッカーは、新しいFudModuleルートキットを使用してDellドライバのバグを悪用します]
https://www.bleepingcomputer.com/news/security/lazarus-hackers-abuse-dell-driver-bug-using-new-fudmodule-rootkit/
⇒ https://malware-log.hatenablog.com/entry/2022/10/01/000000
◆BlackByte ランサムウェア:検出を回避するための Bring Your Own Driver とは? (IoT OT Security News, 2022/10/05)
https://iototsecnews.jp/2022/10/05/blackbyte-ransomware-abuses-legit-driver-to-disable-security-products/
⇒ https://malware-log.hatenablog.com/entry/2022/10/05/000000_4
◇2022年12月
◆Windowsハードウェア開発者プログラムの認定を受けたドライバーがマルウェアの署名に悪用されていたことが発覚 (Gigazine, 2022/12/14 15:26)
https://gigazine.net/news/20221214-microsoft-malicious-windows-drivers-ransomware/
⇒ https://malware-log.hatenablog.com/entry/2022/12/14/000000_1
■2023年
◇2023年4月
◆Ransomware Hackers Using AuKill Tool to Disable EDR Software Using BYOVD Attack (The Hacker News, 2023/04/24)
[ランサムウェアのハッカーがAuKillツールを使用してEDRソフトウェアを無効化 BYOVD攻撃を使用]
https://thehackernews.com/2023/04/ransomware-hackers-using-aukill-tool-to.html
⇒ https://malware-log.hatenablog.com/entry/2023/04/24/000000_2
◇2023年8月
◆Cuba ransomware uses Veeam exploit against critical U.S. organizations (BleepingComputer, 2023/08/20)
[Cuba ransomware、Veeamの悪用で米国の重要組織を狙う]
https://www.bleepingcomputer.com/news/security/cuba-ransomware-uses-veeam-exploit-against-critical-us-organizations/
⇒ https://malware-log.hatenablog.com/entry/2023/08/20/000000
■2024年
◇2024年12月
◆攻撃者はEDRの回避方法を模索している、特に注目すべき10種の手口を解説 (日経XTECH, 2024/12/23)
https://xtech.nikkei.com/atcl/nxt/column/18/02805/121900012/
⇒ https://malware-log.hatenablog.com/entry/2024/12/23/000000
■2025年
◇2025年3月
◆Ransomware gangs exploit Paragon Partition Manager bug in BYOVD attacks (BleepingComputer, 2025/03/01 10:17)
[ランサムウェア集団、BYOVD攻撃でParagon Partition Managerのバグを悪用]
https://www.bleepingcomputer.com/news/security/ransomware-gangs-exploit-paragon-partition-manager-bug-in-byovd-attacks/
⇒ https://malware-log.hatenablog.com/entry/2025/03/21/000000_3
◆Checkpoint ZoneAlarm Driver Flaw Exposes Users to Credential Theft (Hack Read, 2025/03/21)
[チェックポイント ZoneAlarm ドライバの欠陥により、ユーザーの認証情報が盗まれる危険性]Credential theft alert! Venak Security discovers a BYOVD attack using .SYS drivers to bypass Windows security. Learn how this attack steals user data and gains control.
[認証情報の盗難に関する警告!Venak Securityは、Windowsセキュリティをバイパスする.SYSドライバを使用したBYOVD攻撃を発見しました。この攻撃がユーザーデータを盗み、制御を奪う仕組みをご覧ください]https://hackread.com/checkpoint-zonealarm-driver-flaw-user-credential-theft/
⇒ https://malware-log.hatenablog.com/entry/2025/03/21/000000_3
◆Medusa Ransomware Uses Malicious Driver to Disable Anti-Malware with Stolen Certificates (The Hacker News, 2025/03/21)
[Medusaランサムウェア、盗難証明書を使用してマルウェア対策を無効にする悪意のあるドライバを使用]
https://thehackernews.com/2025/03/medusa-ransomware-uses-malicious-driver.html
⇒ https://malware-log.hatenablog.com/entry/2025/03/21/000000_1
【ブログ】
■2022年
◇2022年9月
◆Amazon‑themed campaigns of Lazarus in the Netherlands and Belgium (Welivesecurity, 2022/09/30)
[オランダとベルギーでAmazonをテーマにしたLazarusのキャンペーンが発生]ESET researchers have discovered Lazarus attacks against targets in the Netherlands and Belgium that use spearphishing emails connected to fake job offers
[ESETの研究者は、オランダとベルギーのターゲットに対して、偽の求人情報に接続されたスピアフィッシングメールを使用するLazarus攻撃を発見しました]https://www.welivesecurity.com/2022/09/30/amazon-themed-campaigns-lazarus-netherlands-belgium/
⇒ https://malware-log.hatenablog.com/entry/2022/09/30/000000
■2025年
◇2025年1月
◆脆弱な Windows ドライバに関する分析 (Talos(Cisco), 2025/01/15)
https://gblogs.cisco.com/jp/2025/01/talos-exploring-vulnerable-windows-drivers/
⇒ https://malware-log.hatenablog.com/entry/2025/01/15/000000_5
【公開情報】
■2025年
◇2025年2月
◆医療機関を標的としたHunter Ransom Groupによる攻撃:AD GPOとBYOVD悪用による権限昇格攻撃分析 (CyCraft Japan, 2025/02/25 12:30)
https://prtimes.jp/main/html/rd/p/000000047.000045349.html
⇒ https://malware-log.hatenablog.com/entry/2025/02/25/000000_7
【検索】
google: BYOVD攻撃
google: BYOVD Attack
google:news: BYOVD攻撃
google:news: BYOVD Attack
google: site:virustotal.com
■Bing
https://www.bing.com/search?q=BYOVD攻撃
https://www.bing.com/search?q=BYOVD%20Attack
https://www.bing.com/news/search?q=BYOVD攻撃
https://www.bing.com/news/search?q=BYOVD%20Attack
https://twitter.com/search?q=%23BYOVD%20Attack
【関連まとめ記事】
◆攻撃手法 (まとめ)
https://malware-log.hatenablog.com/entry/Attack_Method
