一种名为 GodDamn 的新型勒索软件正因一项技术而登上头条,这项技术足以让那些认为杀毒软件对设备运行拥有最终话语权的人感到担忧。据 Dark Reading 报道,GodDamn 背后的攻击者正在使用一个由微软自身签署的恶意内核驱动程序,将受信任的数字证书变成武器,反过来攻击本该阻止它的安全工具。这是 BYOVD 攻击的经典例子,即“自带漏洞驱动程序”,正成为勒索软件运营者战术手册中最可靠的伎俩之一。
发生了什么
GodDamn 勒索软件已开始攻击美国公司,部署了一个带有合法微软签名的内核级驱动程序。由于 Windows 信任已签名的驱动程序在操作系统深处运行,该驱动程序能够在勒索软件载荷执行之前绕过防御并终止安全软件。一旦端点保护被禁用,攻击者便可不受限制地加密文件,并在网络中几乎畅行无阻。微软最初签署了该驱动程序,这一细节最为惊人:这意味着恶意代码无需利用 Windows 的漏洞,而是利用了签名流程本身的信任。
BYOVD 如何绕过你的安全防护栈
内核驱动程序在 Windows 机器上以最高权限运行,实际上处于大多数杀毒软件和端点检测工具之下的层级。这正是攻击者想要它的原因。一个拥有有效签名的驱动程序不会像未签名或未知的可执行文件那样触发同样的审查,因此它可以悄悄加载,然后被用来禁用、蒙蔽或终止系统上运行的其他安全进程。
这不仅关乎传统杀毒软件。VPN 客户端软件、DNS 过滤工具以及其他隐私或安全类应用程序也作为同一操作系统上的进程运行,它们同样可能被已获得内核级控制权的攻击者轻松关闭。VPN 会加密你的流量,有助于防止某些类型的网络窥探,但它从未被设计用来阻止恶意驱动程序在操作系统层面禁用安全软件。一旦攻击者获得内核访问权限,他们就在大多数消费者和企业安全工具的视线之下活动,这也正是为什么需要分层防御,而不能依赖任何单一工具。
BYOVD 并非新事物,但它之所以成为备受青睐的手段,恰恰因为它对现代防御极为有效。勒索软件运营者正越来越多地将这一能力直接内置于恶意软件中,而非将其当作预先部署的独立工具,这可以加快攻击速度并使检测更加困难。攻击者在发现有效方法后迅速行动,这种更广泛的模式在当前勒索软件领域随处可见。勒索团伙也表现出对关键基础设施的快速打击意愿,例如今年早些时候 SpaceBears 攻击了一家法国电信运营商,而像 ShinyHunters 声称针对 NAIC 的大规模数据盗窃行动 则表明,一旦初始防御失效,面临风险的数据量有多么庞大。
这对你的设备安全为何重要
GodDamn 的核心教训不在于勒索软件本身,而在于基于信任的安全模型的脆弱性。签名代码、已验证证书和供应商批准本应表示安全,但攻击者总能找到方法来滥用这些信号。速度也是一个因素。正如在某个严重的 cPanel 身份验证绕过漏洞 披露后,攻击者迅速行动,攻陷了数万台服务器一样,勒索软件团伙同样会迅速将任何能让他们占得上风的技术付诸行动,包括恶意签名驱动程序。
对普通用户和 IT 管理员来说,这再次强调了一个简单的道理:单一的安全层,无论是杀毒软件、VPN 还是防火墙,其本身都不足够。深度防御,即多重重叠的防护措施,仍然是降低风险的最现实方法,因为攻击者正不断寻找绕过任何单一控制的手段。
这对你意味着什么
如果你管理着 Windows 系统,无论是在家中还是企业环境中,GodDamn 勒索软件活动提醒你要保持驱动程序签名强制、端点检测和补丁管理的更新。Windows 具备阻止已知恶意驱动程序的机制,保持这些防御措施更新至关重要,因为攻击者依赖过时的阻止列表将漏洞驱动程序悄悄带入系统。
VPN 仍是你隐私与安全工具包中的重要组成部分,尤其是在不可信网络上加密流量和限制某些形式的监视方面,但应将其视为众多防护层中的一层,而不是抵御复杂恶意软件的完整防线。将可靠的 VPN 与最新杀毒软件、及时的系统补丁以及谨慎处理下载和电子邮件附件结合起来,会形成比依赖单一工具强大得多的整体安全态势。
可操作的建议
让 Windows 和所有安全软件保持完全更新,因为微软会定期更新其漏洞驱动程序阻止列表以封堵此类缺口。在支持的设备上,于 Windows 安全设置中启用内存完整性和核心隔离功能,这可以使 BYOVD 攻击更难实施。定期备份关键数据,并将副本离线存储,这样勒索软件加密就无法劫持你的文件。将 VPN 视为整体安全策略的一部分,而非独立的防护盾,与端点保护和安全的浏览习惯配合使用。最后,持续关注新兴的 BYOVD 和勒索软件技术,因为了解攻击者如何绕过基于信任的防御,是在这些缺口触达你之前将其关闭的第一步。




