新型勒索病毒使用BYOVD技术对抗安全软件

‍

‍安全分析与研究

专注于全球恶意软件的分析与研究

前言概述

今天看到群里有人求助，询问是不是使用了BYOVD技术，如下所示：

最近一两年BYOVD技术被广泛应用到了各种黑产攻击、APT攻击以及勒索病毒攻击活动当中，笔者近期在对某黑产组织进行跟踪，捕获到该组织的最新攻击样本，通过某安全厂商的驱动程序漏洞，利用BYOVD技术对抗其他各种终端安全软件包括各种EDR、AV、XDR软件等，对该样本进行详细分析，该组织正处于发展阶段，通过肉鸡控制大量主机，从而进行网络违法犯罪活动。

勒索病毒

1.勒索病毒样本，编译时间为2025年2月5日，如下所示：

样本时间非常新，搞勒索的果然挺积极的，一开年就开始搞钱了。

2.勒索病毒加密后的文件，如下所示：

3.生成的勒索提示信息文件名为RECOVERY INFO.txt，勒索提示信息，如下所示：

4.同时还会生成一个wxr.txt的文件，包含用户的ID以及主机相关信息，如下所示：

5.勒索病毒解密暗网网站，如下所示：

勒索病毒后面有空给大家详细分析吧，这里就不多扯了。

BYOVD技术

1.先看看驱动程序，带有金山的数字签名，如下所示：

2.驱动程序在VT上只有两家报毒，如下所示：

3.通过分析该驱动程序，可被利用用于对抗安全软件，与此前笔者研究过的BYOVD技术中的驱动一样，如下所示：

4.加载可利用的驱动程序，如下所示：

5.调用驱动程序的接口，对抗安全软件进程，如下所示：

6.接口代码，如下所示：

7.干掉进程，如下所示：

恶意软件研究包含的东西实在是太多了，笔者要分享的东西也太多了，慢慢来吧，有兴趣可以加入笔者专业群，与各位同行一起学习交流。

总结结尾

如果对恶意软件分析感兴趣的，可以加入笔者的全球安全分析与研究专业群，一起共同分析和研究全球流行恶意软件家族。

王正

笔名：熊猫正正

恶意软件研究员

长期专注于全球恶意软件的分析与研究，深度追踪全球黑客组织的攻击活动，擅长各种恶意软件逆向分析技术，具有丰富的样本分析实战经验，对勒索病毒、挖矿病毒、窃密、远控木马、银行木马、僵尸网络、高端APT样本都有深入的分析与研究

‍