网安资讯详情 - SecLens 情报雷达

2025-2026签名驱动滥用BYOVD终止EDR趋势综述

来源： threatbook_silverfox · 发布时间 2026-05-24 00:54 (UTC+08:00) · 抓取时间 2026-05-30 11:41 (UTC+08:00)

原文链接

摘要

2025-2026年间，BYOVD完成从“利用已知漏洞旧驱动”向“滥用任何可加载的合法签名驱动/证书”转移，攻击者将签名视为可被利用的内核信任入口，通过IOCTL滥用在内核层终止EDR、提权与持久化。典型案例包括Silver Fox滥用未公开漏洞的WatchDog amsdk.sys（并以双驱动策略覆盖不同系统），以及HoneyMyte使用被盗/过期证书签署自制迷你过滤驱动。对抗层面出现系统化绕过：单字节翻转TimeDateStamp在不破坏Authenticode签名的前提下改变哈希，削弱哈希黑名单；CVE-2025-59033揭示WDAC基于TBS哈希阻断存在绕过风险；已吊销/过期证书仍被用于加载驱动。勒索软件链条将BYOVD型“EDR杀手”工业化，广泛复用多种签名驱动与ZwOpenProcess/ZwTerminateProcess等能力绕过PPL。防御需从签名/哈希静态信任转向驱动资产治理与运行时行为/IOCTL语义监控，强化加载链路审计与内核异常检测，并结合WHCP等收敛旧信任根的策略降低暴露面。

正文

## 事件背景 综合两篇报告，2025-2026年间BYOVD（Bring Your Own Vulnerable Driver）相关攻击呈现显著模式变化：从主要依赖“利用已知漏洞驱动”逐步转向“滥用合法签名驱动/证书”以获得内核级能力。该转变被归因于Windows驱动签名验证与信任模型存在结构性缺陷，使攻击者能够借助被系统信任的驱动程序在内核层面实施隐蔽操作。此类技术路径已被勒索软件与APT活动广泛采用，相关案例中提及Silver Fox与HoneyMyte等APT组织，表明该威胁在现实攻防中具有可复用性与持续性，并进一步暴露了单纯依赖签名校验构建信任的根本局限。 ## 攻击手法 攻击链的核心在于利用合法签名驱动所具备的内核级特权来完成绕过与控制。攻击者不再只寻找和利用“已被公开标记的易受攻击驱动”，而是通过多种方式获取可被系统信任的驱动与签名能力：包括收集旧版驱动、使用未知漏洞驱动、滥用被盗或过期证书签署自定义恶意驱动等。在具体样本层面，Silver Fox被描述为滥用带有有效微软签名且未被报告存在漏洞的WatchDog反恶意软件驱动（amsdk.sys），以其内核权限执行恶意操作；HoneyMyte则通过被盗证书签署自定义恶意驱动以绕过检测逻辑。为对抗防守侧的哈希黑名单机制，攻击者采用“单字节翻转”对驱动文件进行微小改动（并提及修改时间戳字段）以生成新的文件哈希值，同时保持原始数字签名仍然有效，从而在不破坏信任链的前提下规避基于哈希的阻断。在部分攻击流程中，初始访问可通过钓鱼邮件达成，并结合恶意LNK文件、DLL侧加载等技术完成后续投递，最终加载驱动在内核层面终止安全软件进程并扩展控制能力。 ## 影响评估 两篇报告一致强调，BYOVD滥用合法签名驱动带来的关键影响是：攻击者可在不易被传统检测发现的情况下获得内核级权限，从而绕过用户态安全防护并使安全软件失效。技术层面，攻击者能够在内核层面终止任意进程、修改关键系统结构，实现对系统的高度控制；业务与安全后果包括权限提升、数据窃取以及与勒索软件/APT活动结合带来的更广泛风险。由于攻击利用的是被信任的签名驱动与证书，并可通过单字节翻转等方式持续规避哈希黑名单，这一模式表现出较强的普遍性与隐蔽性，使传统以“静态签名信任/静态阻断”为主的防护手段难以有效应对，从而显著抬升企业整体风险暴露面。 ## 处置建议 应对措施集中在“收紧驱动信任来源”与“强化加载控制/检测策略”两条主线。平台侧，微软在2026年宣布政策变更：计划默认移除对旧版交叉签名根程序签发驱动程序的信任，并要求未来所有新内核驱动必须通过Windows硬件兼容性计划（WHCP）进行认证，以提升内核驱动生态的基线可信度。防守侧，建议通过WDAC策略阻止已知易受攻击驱动的加载，以在终端侧建立更强的驱动加载约束。同时，防御思路需要从单纯依赖静态签名验证转向更强调动态行为监控与更严格的访问控制、实时检测机制，以应对合法签名与哈希规避（如单字节翻转）带来的检测盲区。

标签

• group:银狐,HoneyMyte
• silverfox
• tag:amsdk
• tag:HoneyMyte
• tag:NimBlackout
• tag:ValleyRAT
• tag:winos
• tag:银狐
• threatbook
• threat_intelligence

扩展字段

{
  "attack_method": {
    "attack_type": null,
    "attck_count": 0,
    "is_command": "否",
    "is_new_attack": "否"
  },
  "event_types": [],
  "gpt_tags": [
    "银狐",
    "NimBlackout",
    "ValleyRAT",
    "HoneyMyte",
    "winos",
    "amsdk"
  ],
  "malware_name": [],
  "reference_links": [
    "https://www.gm7.org/archives/107194",
    "https://mp.weixin.qq.com/s/-X-mwyVc108HBSOsZwM0Dw"
  ],
  "related_anonymous": "银狐,HoneyMyte",
  "target_area": [
    "台湾地区企业"
  ],
  "target_country": [
    "中国台湾"
  ],
  "target_industry_type": [
    "政府",
    "国央企",
    "民营、外资及其它行业"
  ]
}