Kant's IT/Issue on IT&Security
Windows 취약한 드라이버와 BYOVD 기법
Kant Jo
2025. 1. 4. 11:50
Exploring vulnerable Windows drivers
Exploring vulnerable Windows drivers
This post is the result of research into the real-world application of the Bring Your Own Vulnerable Driver (BYOVD) technique along with Cisco Talos’ series of posts about malicious Windows drivers.
blog.talosintelligence.com
- BYOVD(Bring Your Own Vulnerable Driver) 개념
- 공격자가 이미 알려진 취약 드라이버를 직접 설치해 커널 레벨 권한 확보
- 윈도우 드라이버 서명 요구가 강화되면서, 기존 레거시 드라이버에 존재하는 취약점을 악용하는 사례 증가
- 랜섬웨어 및 해커 그룹 사례
- Kasseika, Akira, Qilin, BlackByte, RansomHub 등 랜섬웨어 조직이 취약 드라이버 로딩 후 보안 툴 비활성화
- Scattered Spider 연계 그룹이 BYOVD 기법 사용해 방어 체계 우회
- 취약 드라이버 분류
- 임의 MSR 쓰기: MSR(모델별 레지스터)을 조작해 커널 함수를 악성 함수로 대체
- 임의 커널 메모리 읽기/쓰기: 커널 데이터 구조(_EPROCESS 등) 변조로 권한 상승 또는 임의 코드 삽입
- 접근 제한 미흡: 드라이버에 부적절한 SDDL 설정으로 일반 사용자도 고급 기능(프로세스 종료 등)에 접근 가능
- 공격 활용 사례
- 권한 상승: _EPROCESS 구조의 Access Token을 교체해 SYSTEM 권한 탈취
- EDR/보안툴 우회: 취약 드라이버로 보안 프로세스 종료 (Terminator, RealBlindingEDR 등 툴 활용)
- Wiper/Ransomware 공격: Shamoon, HermeticWiper, BlackByte 등에서도 취약 드라이버 이용
- 윈도우 최신 보안 메커니즘
- 가상화 기반 보안(VBS), 하이퍼바이저 보호 코드 무결성(HVCI), 커널 제어 흐름 보호(kCFG), 커널 섀도 스택 등
- 신규 드라이버 서명(EV 인증 및 HLK 테스트) 요구로 새 악성 드라이버 제작 난이도 상승
- 하지만 레거시 드라이버는 블록리스트에 등록되지 않는 한 계속 악용 가능
- 보안 권고
- 드라이버 블록리스트: Windows Defender Application Control로 알려진 취약 드라이버 차단
- EV 서명 및 WHQL 인증: 신규 드라이버 정책 엄수, 레거시 드라이버 최소화
- 드라이버 로드 모니터링: Sysmon(이벤트 ID 6) 등으로 드라이버 적재 기록 점검
- 최신 윈도우 보안 기능(VBS, HVCI 등) 활성화로 커널 공격 표면 축소