Техника BYOVD — Bring Your Own Vulnerable Driver — в последние месяцы превратилась из экзотики в рабочий инструмент для крупнейших вымогательских группировок. Суть простая: злоумышленники приносят с собой на скомпрометированную машину легитимный, но уязвимый драйвер, через который получают доступ к ядру операционной системы. А дальше — отключают защиту. Исследователи из Cisco Talos, Trend Micro, CYFIRMA и Cynet зафиксировали, что группировки Qilin и Warlock (она же Water Manaul) активно используют этот подход, причём против более чем 300 различных EDR-продуктов практически от всех известных вендоров.
Qilin за последние месяцы стала одной из самых активных ransomware-групп, заявив о сотнях жертв. Только в Японии в 2025 году ей приписывают 22 из 134 зарегистрированных инцидентов с программами-вымогателями — это 16,4% от всех атак. Первоначальный доступ группировка получает преимущественно через украденные учетные данные, после чего основной упор делается на методичное расширение контроля внутри сети. Между первичным проникновением и непосредственным запуском шифровальщика проходит в среднем около шести дней.
Цепочка заражения у Qilin построена вокруг вредоносной DLL-библиотеки с именем «msimg32.dll», которая подгружается через технику DLL side-loading. На первом этапе PE-загрузчик подготавливает окружение, держа вторичную полезную нагрузку — собственно «убийцу EDR» — в зашифрованном виде. Расшифровка, загрузка и исполнение этого компонента происходят целиком в памяти, без записи на диск. Попутно малварь нейтрализует user-mode хуки, подавляет журналы Event Tracing for Windows (ETW) и маскирует паттерны вызова API-функций, чтобы затруднить анализ потока управления.
Когда компонент для уничтожения EDR запущен, в дело вступают два драйвера. Первый — rwdrv.sys, переименованная версия ThrottleStop.sys, — используется для получения прямого доступа к физической памяти и работает как аппаратный слой в режиме ядра. Второй — hlpdrv.sys — непосредственно завершает процессы, связанные с более чем 300 различными EDR-драйверами. Перед загрузкой второго драйвера вредонос снимает мониторинговые callback-функции, зарегистрированные EDR-продуктами, чтобы те не могли вмешаться. Исследователи Cisco Talos Такахиро Такеда и Хольгер Унтербринк отмечают, что эти же драйверы (rwdrv.sys и hlpdrv.sys) ранее применялись группировками Akira и Makop.
Warlock действует по-другому на этапе проникновения. Группировка эксплуатирует непропатченные серверы Microsoft SharePoint. Для отключения защитного ПО на уровне ядра она задействует драйвер NSecKrnl.sys — легитимный, но уязвимый драйвер от NSec, который пришёл на замену ранее использовавшемуся googleApiUtil64.sys.
Арсенал Warlock впечатляет разнообразием. Для устойчивого удалённого контроля применяется TightVNC. RDP Patcher позволяет организовать параллельные RDP-сессии. В качестве инфраструктуры управления (C2) группировка использует Velociraptor, а для туннелирования коммуникаций с C2 — Visual Studio Code и Cloudflare Tunnel. Для проникновения во внутреннюю сеть и организации обратного прокси-соединения с C2-сервером используется инструмент Yuze, работающий через HTTP (порт 80), HTTPS (порт 443) и DNS (порт 53). Вывод похищенных данных осуществляется через Rclone.
Шесть суток, которые Qilin проводит в сети до запуска шифровальщика, — это окно для обнаружения. Если защитники его пропускают, на финальном этапе EDR-решения оказываются просто выключены, и шифровальщик работает без помех. Рекомендации от Cisco Talos и Trend Micro звучат достаточно конкретно: разрешать загрузку только подписанных драйверов от явно доверенных издателей, непрерывно отслеживать события установки драйверов и поддерживать жёсткий график обновлений для защитного ПО, особенно для продуктов с драйверными компонентами.
Trend Micro особо акцентирует: базовой защиты конечных точек уже недостаточно. Необходим переход к строгому контролю драйверной политики и мониторингу активности на уровне ядра в реальном времени. Пока BYOVD остается рабочей техникой, ни один EDR-продукт не может гарантировать, что его не «снесут» через легитимный подписанный драйвер с известной уязвимостью.
Изображение носит иллюстративный характер
Qilin за последние месяцы стала одной из самых активных ransomware-групп, заявив о сотнях жертв. Только в Японии в 2025 году ей приписывают 22 из 134 зарегистрированных инцидентов с программами-вымогателями — это 16,4% от всех атак. Первоначальный доступ группировка получает преимущественно через украденные учетные данные, после чего основной упор делается на методичное расширение контроля внутри сети. Между первичным проникновением и непосредственным запуском шифровальщика проходит в среднем около шести дней.
Цепочка заражения у Qilin построена вокруг вредоносной DLL-библиотеки с именем «msimg32.dll», которая подгружается через технику DLL side-loading. На первом этапе PE-загрузчик подготавливает окружение, держа вторичную полезную нагрузку — собственно «убийцу EDR» — в зашифрованном виде. Расшифровка, загрузка и исполнение этого компонента происходят целиком в памяти, без записи на диск. Попутно малварь нейтрализует user-mode хуки, подавляет журналы Event Tracing for Windows (ETW) и маскирует паттерны вызова API-функций, чтобы затруднить анализ потока управления.
Когда компонент для уничтожения EDR запущен, в дело вступают два драйвера. Первый — rwdrv.sys, переименованная версия ThrottleStop.sys, — используется для получения прямого доступа к физической памяти и работает как аппаратный слой в режиме ядра. Второй — hlpdrv.sys — непосредственно завершает процессы, связанные с более чем 300 различными EDR-драйверами. Перед загрузкой второго драйвера вредонос снимает мониторинговые callback-функции, зарегистрированные EDR-продуктами, чтобы те не могли вмешаться. Исследователи Cisco Talos Такахиро Такеда и Хольгер Унтербринк отмечают, что эти же драйверы (rwdrv.sys и hlpdrv.sys) ранее применялись группировками Akira и Makop.
Warlock действует по-другому на этапе проникновения. Группировка эксплуатирует непропатченные серверы Microsoft SharePoint. Для отключения защитного ПО на уровне ядра она задействует драйвер NSecKrnl.sys — легитимный, но уязвимый драйвер от NSec, который пришёл на замену ранее использовавшемуся googleApiUtil64.sys.
Арсенал Warlock впечатляет разнообразием. Для устойчивого удалённого контроля применяется TightVNC. RDP Patcher позволяет организовать параллельные RDP-сессии. В качестве инфраструктуры управления (C2) группировка использует Velociraptor, а для туннелирования коммуникаций с C2 — Visual Studio Code и Cloudflare Tunnel. Для проникновения во внутреннюю сеть и организации обратного прокси-соединения с C2-сервером используется инструмент Yuze, работающий через HTTP (порт 80), HTTPS (порт 443) и DNS (порт 53). Вывод похищенных данных осуществляется через Rclone.
Шесть суток, которые Qilin проводит в сети до запуска шифровальщика, — это окно для обнаружения. Если защитники его пропускают, на финальном этапе EDR-решения оказываются просто выключены, и шифровальщик работает без помех. Рекомендации от Cisco Talos и Trend Micro звучат достаточно конкретно: разрешать загрузку только подписанных драйверов от явно доверенных издателей, непрерывно отслеживать события установки драйверов и поддерживать жёсткий график обновлений для защитного ПО, особенно для продуктов с драйверными компонентами.
Trend Micro особо акцентирует: базовой защиты конечных точек уже недостаточно. Необходим переход к строгому контролю драйверной политики и мониторингу активности на уровне ядра в реальном времени. Пока BYOVD остается рабочей техникой, ни один EDR-продукт не может гарантировать, что его не «снесут» через легитимный подписанный драйвер с известной уязвимостью.
