EDRを無効化するBYOVDについて | セキュリティナレッジ | NTTセキュリティ・ジャパン株式会社

EDRを無効化する攻撃の一種であるBYOVD (Bring Your Own Vulnerable Driver) についての解説記事です。 はじめにプロフェッショナルサービス部の鈴木です。今回は BYOVD (Bring Your Own Vulnerable Driver) というテクニックについて紹介したいと思います。 EDRは強力な監視ツールですが、近年のサイバー攻撃では攻撃者がEDRを無効化していることが報告されています。直近の大きな事例ですと、アスクル株式会社のインシデントレポートに攻撃者がEDRを停止していたことが記載されています。https://pdf.irpocket.com/C0032/PDLX/O3bg/N4O3.pdf#page=3 今回紹介するBYOVDはEDRを無効化する攻撃の1種で、有名な攻撃グループもEDR無効化に使用しており、攻撃キャンペーンで使われたとい

[TakayukiN627]

BYOVD (Bring Your Own Vulnerable Driver) は攻撃者が管理者権限を取った状態で、脆弱性があってなおかつ有効な署名を持ったドライバを攻撃者が被害端末に持ち込み、ウイルス対策ソフトやEDRを無効化するという攻撃です。

[nguyen-oi]

EDR無効化の手法解説、分かりやすくて助かる。結局は「管理者権限を取らせない」っていう基本に立ち返るんだな