{"id":6942,"date":"2025-02-27T22:34:24","date_gmt":"2025-02-28T01:34:24","guid":{"rendered":"https:\/\/base4sec.com\/nao-categorizado\/signed-drivers-compromised-systems-the-danger-of-byovd\/2025\/02\/27\/"},"modified":"2025-04-11T22:53:16","modified_gmt":"2025-04-12T01:53:16","slug":"signed-drivers-compromised-systems-the-danger-of-byovd","status":"publish","type":"post","link":"https:\/\/base4sec.com\/pt-br\/defensiva\/signed-drivers-compromised-systems-the-danger-of-byovd\/2025\/02\/27\/","title":{"rendered":"Drivers assinados, sistemas comprometidos: o perigo do BYOVD"},"content":{"rendered":"<p>Sempre falamos sobre a constante mudan\u00e7a e a versatilidade dos ataques cibern\u00e9ticos, por isso, desta vez, analisamos uma das t\u00e1ticas emergentes que ganhou notoriedade: o uso de drivers vulner\u00e1veis leg\u00edtimos para se infiltrar em sistemas protegidos, uma estrat\u00e9gia conhecida como Bring Your Own Vulnerable Driver (BYOVD).<br \/>\nEssa estrat\u00e9gia \u00e9 particularmente perigosa porque os drivers, sendo assinados digitalmente, s\u00e3o considerados confi\u00e1veis pelo sistema operacional, permitindo que os invasores contornem as medidas de seguran\u00e7a tradicionais.<\/p>\n<p>Defini\u00e7\u00e3o<br \/>\nBYOVD (Bring Your Own Vulnerable Driver) \u00e9 uma t\u00e9cnica usada por criminosos cibern\u00e9ticos para introduzir um driver leg\u00edtimo, mas vulner\u00e1vel, em um sistema-alvo a fim de explor\u00e1-lo para fins maliciosos. Esses drivers, por serem assinados digitalmente, s\u00e3o considerados confi\u00e1veis pelo sistema operacional, permitindo que os invasores contornem as medidas de seguran\u00e7a convencionais. Al\u00e9m disso, ao operar no modo kernel, esses drivers concedem aos invasores privil\u00e9gios elevados, facilitando a\u00e7\u00f5es como a desativa\u00e7\u00e3o de softwares de seguran\u00e7a ou a instala\u00e7\u00e3o de rootkits.<\/p>\n<p>Originalmente, essa t\u00e9cnica era usada por grupos de amea\u00e7as persistentes avan\u00e7adas (APT) de alto n\u00edvel, como o Turla e o Equation Group. No entanto, com a diminui\u00e7\u00e3o dos custos associados a esses ataques, outros agentes mal-intencionados adotaram o m\u00e9todo BYOVD para atingir seus objetivos.<\/p>\n<p>A crescente popularidade do BYOVD se deve, em parte, \u00e0 disponibilidade de recursos de c\u00f3digo aberto que documentam drivers leg\u00edtimos que podem ser explorados. Por exemplo, o projeto Living Off The Land Drivers (LOLDrivers) catalogou mais de 700 drivers que os invasores podem usar, reduzindo as barreiras para a realiza\u00e7\u00e3o de ataques BYOVD.<\/p>\n<p>Como funciona<br \/>\nOs ataques do tipo BYOVD (Bring Your Own Vulnerable Driver) permitem que os criminosos cibern\u00e9ticos obtenham controle total sobre um sistema explorando vulnerabilidades em drivers leg\u00edtimos. Esse m\u00e9todo envolve a introdu\u00e7\u00e3o de um driver vulner\u00e1vel no sistema da organiza\u00e7\u00e3o e a explora\u00e7\u00e3o de suas falhas para executar c\u00f3digos maliciosos com privil\u00e9gios elevados.<\/p>\n<p>Os principais est\u00e1gios de um ataque BYOVD est\u00e3o detalhados abaixo:<\/p>\n<ul>\n<li>Identifica\u00e7\u00e3o e sele\u00e7\u00e3o de um driver vulner\u00e1vel: os atacantes procuram drivers leg\u00edtimos com vulnerabilidades conhecidas. Esses drivers geralmente s\u00e3o assinados digitalmente, o que facilita sua instala\u00e7\u00e3o sem levantar suspeitas.<\/li>\n<li>Instala\u00e7\u00e3o do driver no sistema da v\u00edtima: uma vez selecionado, o driver vulner\u00e1vel \u00e9 introduzido no sistema da organiza\u00e7\u00e3o. Isso pode ser feito por meio de t\u00e9cnicas de engenharia social, acesso remoto ou pela explora\u00e7\u00e3o de permiss\u00f5es administrativas obtidas anteriormente.<\/li>\n<li>Explora\u00e7\u00e3o da vulnerabilidade para elevar os privil\u00e9gios: ap\u00f3s a instala\u00e7\u00e3o, os criminosos cibern\u00e9ticos exploram os pontos fracos do driver para executar c\u00f3digos no modo kernel. Isso permite que eles desativem as solu\u00e7\u00f5es de seguran\u00e7a, modifiquem as configura\u00e7\u00f5es do sistema e ocultem suas atividades mal-intencionadas.<\/li>\n<li>Manter a persist\u00eancia e evitar a detec\u00e7\u00e3o: com acesso privilegiado, os invasores implementam mecanismos para manter sua presen\u00e7a no sistema e evitar as ferramentas de detec\u00e7\u00e3o. Isso pode incluir a desativa\u00e7\u00e3o do software de seguran\u00e7a ou a modifica\u00e7\u00e3o dos registros do sistema.<\/li>\n<\/ul>\n<p>Um exemplo not\u00e1vel dessa t\u00e9cnica \u00e9 o uso da ferramenta AuKill, que aproveita uma vers\u00e3o desatualizada do driver Process Explorer para desativar os processos de seguran\u00e7a antes de implantar o ransomware no sistema de destino. Esse m\u00e9todo foi empregado em v\u00e1rios incidentes desde o in\u00edcio de 2023, destacando a crescente ado\u00e7\u00e3o de ataques BYOVD por grupos de ransomware.<\/p>\n<p>A sofistica\u00e7\u00e3o e a efic\u00e1cia dos ataques BYOVD destacam a necessidade de as organiza\u00e7\u00f5es manterem seus drivers e sistemas de seguran\u00e7a atualizados, implementarem pol\u00edticas rigorosas de gerenciamento de privil\u00e9gios e adotarem solu\u00e7\u00f5es capazes de detectar e atenuar atividades mal-intencionadas no n\u00edvel do kernel.<\/p>\n<p>Alguns exemplos<br \/>\nOs ataques BYOVD foram usados em v\u00e1rios incidentes cibern\u00e9ticos, principalmente em ataques de ransomware e por grupos de amea\u00e7as persistentes avan\u00e7adas (APT). Alguns casos representativos s\u00e3o apresentados a seguir:<\/p>\n<p>Caso 1: uso de drivers assinados leg\u00edtimos, mas vulner\u00e1veis, em ataques de ransomware.<br \/>\nEm v\u00e1rios incidentes, os criminosos cibern\u00e9ticos exploraram drivers leg\u00edtimos com vulnerabilidades conhecidas para desativar solu\u00e7\u00f5es de seguran\u00e7a nos sistemas das v\u00edtimas. Ao instalar esses drivers vulner\u00e1veis, os invasores obt\u00eam privil\u00e9gios elevados, o que lhes permite implantar ransomware e criptografar dados cr\u00edticos sem serem detectados. Essa t\u00e9cnica foi observada em v\u00e1rias campanhas de ransomware, nas quais os invasores exploram drivers assinados para contornar as defesas do sistema.<\/p>\n<p>Caso 2: Amea\u00e7as persistentes avan\u00e7adas (APTs) usando BYOVD para evitar solu\u00e7\u00f5es de seguran\u00e7a.<br \/>\nOs grupos APT adotaram a t\u00e9cnica BYOVD para se infiltrar em redes de alto valor. Por exemplo, atores como InvisiMole e LoJax foram documentados empregando drivers vulner\u00e1veis para obter acesso ao kernel do Windows, o que lhes permite evitar solu\u00e7\u00f5es de seguran\u00e7a e manter uma presen\u00e7a prolongada em sistemas comprometidos. Essa estrat\u00e9gia facilita a exfiltra\u00e7\u00e3o de informa\u00e7\u00f5es confidenciais e mant\u00e9m o controle cont\u00ednuo da infraestrutura comprometida.<\/p>\n<p>Caso 3: uso em malware como o RobbinHood, que desativa o antiv\u00edrus por meio de drivers vulner\u00e1veis.<br \/>\nO ransomware RobbinHood foi identificado usando a t\u00e9cnica BYOVD para desativar as solu\u00e7\u00f5es antiv\u00edrus nos sistemas visados. Ao carregar um driver vulner\u00e1vel, o malware consegue desativar os mecanismos de prote\u00e7\u00e3o, facilitando a criptografia de dados sem interfer\u00eancia. Essa abordagem demonstra como os atacantes adaptam seus m\u00e9todos para superar as barreiras de seguran\u00e7a tradicionais, explorando drivers com vulnerabilidades conhecidas.<\/p>\n<p>Pequenos arquivos, grandes problemas<br \/>\nEssa estrat\u00e9gia representa uma amea\u00e7a significativa \u00e0 seguran\u00e7a cibern\u00e9tica devido \u00e0 dificuldade de mitig\u00e1-la e ao poss\u00edvel impacto sobre organiza\u00e7\u00f5es e parceiros.<\/p>\n<p>Dificuldade em mitigar ataques BYOVD<br \/>\nUma das principais complexidades na atenua\u00e7\u00e3o desses ataques \u00e9 que os drivers usados geralmente s\u00e3o assinados digitalmente por autoridades leg\u00edtimas. Essa assinatura digital confere a eles um n\u00edvel de confian\u00e7a dentro do sistema operacional, permitindo que os criminosos cibern\u00e9ticos carreguem drivers vulner\u00e1veis sem serem facilmente detectados. Al\u00e9m disso, a ampla disponibilidade de drivers leg\u00edtimos com vulnerabilidades conhecidas oferece aos invasores v\u00e1rias op\u00e7\u00f5es para realizar suas a\u00e7\u00f5es mal-intencionadas.<\/p>\n<p>Problemas com listas de bloqueio e gerenciamento de assinaturas digitais<br \/>\nA implementa\u00e7\u00e3o de listas de bloqueio para drivers vulner\u00e1veis \u00e9 uma estrat\u00e9gia comum; no entanto, manter essas listas atualizadas \u00e9 um desafio constante. Os criminosos cibern\u00e9ticos podem modificar ligeiramente os drivers ou usar variantes menos conhecidas para contornar essas medidas de seguran\u00e7a. Al\u00e9m disso, o gerenciamento de assinaturas digitais \u00e9 complicado quando os invasores usam certificados roubados ou vazados para assinar drivers mal-intencionados, o que dificulta a identifica\u00e7\u00e3o e o bloqueio eficazes desses componentes.<\/p>\n<p>Impacto nas organiza\u00e7\u00f5es e parceiros<br \/>\nOs ataques BYOVD podem ter consequ\u00eancias devastadoras para as organiza\u00e7\u00f5es. Ao desativar solu\u00e7\u00f5es de seguran\u00e7a, como EDR (Endpoint Detection and Response), os invasores obt\u00eam acesso irrestrito a sistemas essenciais, o que pode levar ao roubo de dados confidenciais, a interrup\u00e7\u00f5es operacionais e a danos \u00e0 reputa\u00e7\u00e3o. Para os funcion\u00e1rios, isso pode resultar em perda de confian\u00e7a na infraestrutura de seguran\u00e7a da organiza\u00e7\u00e3o e em poss\u00edveis riscos para suas informa\u00e7\u00f5es pessoais.<\/p>\n<p>M\u00e9todos de preven\u00e7\u00e3o e mitiga\u00e7\u00e3o<br \/>\nN\u00e3o h\u00e1 uma solu\u00e7\u00e3o simples para esse problema. Para aumentar a efic\u00e1cia da prote\u00e7\u00e3o, \u00e9 essencial implementar uma combina\u00e7\u00e3o de estrat\u00e9gias preventivas e de mitiga\u00e7\u00e3o. Veja a seguir algumas medidas recomendadas:<\/p>\n<p>Auditoria regular e atualiza\u00e7\u00e3o dos controladores<br \/>\nRealize auditorias regulares dos drivers instalados nos sistemas para identificar aqueles que est\u00e3o vulner\u00e1veis ou desatualizados. \u00c9 essencial aplicar patches e atualiza\u00e7\u00f5es fornecidos pelos fabricantes para corrigir poss\u00edveis vulnerabilidades. Al\u00e9m disso, a remo\u00e7\u00e3o de drivers obsoletos ou desnecess\u00e1rios reduz a superf\u00edcie de ataque dispon\u00edvel para os criminosos cibern\u00e9ticos.<\/p>\n<p>Implementa\u00e7\u00e3o de listas de bloqueios de drivers vulner\u00e1veis<br \/>\nMantenha e aplique listas de bloqueio que incluam drivers conhecidos como vulner\u00e1veis. Os sistemas operacionais, como o Windows, fornecem mecanismos para bloquear o carregamento de drivers espec\u00edficos, impedindo que os criminosos cibern\u00e9ticos explorem esses pontos fracos. Essa pr\u00e1tica \u00e9 essencial para evitar a execu\u00e7\u00e3o de drivers comprometidos no ambiente organizacional.<\/p>\n<p>Fortalecimento dos privil\u00e9gios administrativos<br \/>\nRestringir os privil\u00e9gios administrativos necess\u00e1rios para a instala\u00e7\u00e3o e o carregamento de drivers. Implemente pol\u00edticas de controle de acesso que limitem a capacidade dos colaboradores de instalar software n\u00e3o autorizado. Al\u00e9m disso, use solu\u00e7\u00f5es de gerenciamento de identidade e acesso (IAM) para monitorar e controlar os privil\u00e9gios dos usu\u00e1rios, minimizando o risco de os criminosos cibern\u00e9ticos explorarem contas com permiss\u00f5es elevadas.<\/p>\n<p>Ativa\u00e7\u00e3o dos mecanismos de prote\u00e7\u00e3o do kernel<br \/>\nAtive os recursos de seguran\u00e7a incorporados ao sistema operacional, como a prote\u00e7\u00e3o da integridade do c\u00f3digo do modo kernel e a integridade da mem\u00f3ria. Essas ferramentas ajudam a evitar o carregamento de drivers n\u00e3o autorizados ou mal-intencionados, refor\u00e7ando a seguran\u00e7a no n\u00edvel do kernel do sistema.<\/p>\n<p>Monitoramento ativo e resposta a incidentes<br \/>\nImplemente solu\u00e7\u00f5es de monitoramento cont\u00ednuo que detectem atividades suspeitas relacionadas a drivers, como tentativas de carregar drivers n\u00e3o autorizados ou modifica\u00e7\u00f5es em drivers existentes. Estabele\u00e7a procedimentos de resposta r\u00e1pida para isolar e remediar sistemas comprometidos, evitando a dissemina\u00e7\u00e3o de amea\u00e7as e minimizando o impacto sobre a organiza\u00e7\u00e3o.<\/p>\n<p>Educa\u00e7\u00e3o e conscientiza\u00e7\u00e3o dos funcion\u00e1rios<br \/>\nTreine os funcion\u00e1rios sobre as pr\u00e1ticas recomendadas de seguran\u00e7a, enfatizando a import\u00e2ncia de n\u00e3o instalar software ou drivers de fontes n\u00e3o confi\u00e1veis. Promova uma cultura de seguran\u00e7a em que os funcion\u00e1rios estejam cientes dos poss\u00edveis vetores de ataque e saibam como relatar atividades incomuns.<\/p>\n<p>Conclus\u00e3o<br \/>\nO BYOVD representa uma amea\u00e7a significativa no cen\u00e1rio atual da seguran\u00e7a cibern\u00e9tica. Os criminosos cibern\u00e9ticos exploram drivers leg\u00edtimos, mas vulner\u00e1veis, para obter acesso privilegiado ao kernel do sistema, contornando assim as medidas de seguran\u00e7a tradicionais. Essa abordagem foi adotada por v\u00e1rios grupos de amea\u00e7as, incluindo atores de ransomware e grupos de amea\u00e7as persistentes avan\u00e7adas (APT), ressaltando a necessidade de vigil\u00e2ncia constante e resposta proativa por parte das organiza\u00e7\u00f5es.<\/p>\n<p>Para reduzir os riscos associados ao BYOVD, \u00e9 essencial que as organiza\u00e7\u00f5es implementem estrat\u00e9gias de seguran\u00e7a robustas. Isso inclui a manuten\u00e7\u00e3o de uma lista de bloqueio atualizada de drivers vulner\u00e1veis, o emprego de ferramentas avan\u00e7adas de detec\u00e7\u00e3o e resposta de endpoints (EDR) e a garantia de que todos os drivers e sistemas sejam atualizados com os patches de seguran\u00e7a mais recentes. Al\u00e9m disso, a colabora\u00e7\u00e3o entre fabricantes de hardware, desenvolvedores de software e profissionais de seguran\u00e7a cibern\u00e9tica \u00e9 fundamental para identificar e solucionar proativamente as vulnerabilidades dos drivers.<\/p>\n<p>Em suma, a conscientiza\u00e7\u00e3o e a a\u00e7\u00e3o coordenada s\u00e3o fundamentais para proteger os sistemas contra as amea\u00e7as impostas pelo BYOVD. Ao adotar uma abordagem proativa e colaborativa, as organiza\u00e7\u00f5es podem fortalecer suas defesas e reduzir a superf\u00edcie de ataque dispon\u00edvel para os criminosos cibern\u00e9ticos.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Sempre falamos sobre a constante mudan\u00e7a e a versatilidade dos ataques cibern\u00e9ticos, por isso, desta vez, analisamos uma das t\u00e1ticas emergentes que ganhou notoriedade: o uso de drivers vulner\u00e1veis leg\u00edtimos para se infiltrar em sistemas protegidos, uma estrat\u00e9gia conhecida como Bring Your Own Vulnerable Driver (BYOVD). Essa estrat\u00e9gia \u00e9 particularmente perigosa porque os drivers, sendo [&hellip;]<\/p>\n","protected":false},"author":5,"featured_media":6929,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"advanced_seo_description":"","jetpack_seo_html_title":"","jetpack_seo_noindex":false,"footnotes":""},"categories":[98,199],"tags":[],"class_list":{"0":"post-6942","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-defensiva","8":"category-tecnico-pt-br"},"jetpack_featured_media_url":"https:\/\/base4sec.com\/wp-content\/uploads\/2025\/04\/133.png","_links":{"self":[{"href":"https:\/\/base4sec.com\/pt-br\/wp-json\/wp\/v2\/posts\/6942","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/base4sec.com\/pt-br\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/base4sec.com\/pt-br\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/base4sec.com\/pt-br\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/base4sec.com\/pt-br\/wp-json\/wp\/v2\/comments?post=6942"}],"version-history":[{"count":1,"href":"https:\/\/base4sec.com\/pt-br\/wp-json\/wp\/v2\/posts\/6942\/revisions"}],"predecessor-version":[{"id":6944,"href":"https:\/\/base4sec.com\/pt-br\/wp-json\/wp\/v2\/posts\/6942\/revisions\/6944"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/base4sec.com\/pt-br\/wp-json\/wp\/v2\/media\/6929"}],"wp:attachment":[{"href":"https:\/\/base4sec.com\/pt-br\/wp-json\/wp\/v2\/media?parent=6942"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/base4sec.com\/pt-br\/wp-json\/wp\/v2\/categories?post=6942"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/base4sec.com\/pt-br\/wp-json\/wp\/v2\/tags?post=6942"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}