BYOVD
: 유효한 서명을 가진 드라이버의 취약점을 활용하여, 이 드라이브의 높은 권한을 기반으로 보안 솔루션을 우회해 공격을 최대화하는 방법
- Backstab.exe가 처음에 권한 상승 해놓고 왜 또 드라이버의 권한을 필요로 하는가?
: 상승시킨 권한 만으로는 보안 솔루션의 핸들을 얻기가 어려움 → 그래서 드라이버까지 끌어들이는 것임 - Backstab.exe가 보안 솔루션 PID를 어떻게 아는건지?: Backstab.exe 실행 시 입력받는 것임
- DeviceIoControl(): 지정된 디바이스 드라이버에 직접 제어 코드를 보내, 해당 디바이스가 해당 작업을 수행하도록 함
※ 소만사의 아래 자료를 참고하였다.
https://www.somansa.com/wp-content/uploads/2024/10/BYOVD_202409.pdf
'보안 > 시스템 보안' 카테고리의 다른 글
| 바이너리 내 활용할 수 있는 심볼 리스트 얻기 (0) | 2025.03.17 |
|---|---|
| [Double Free Bug] (0) | 2025.02.13 |
| [Malware: Malicious Software] Type, History, Detection, Trend (0) | 2024.06.11 |
| [Heartbleed Attack] TLS Record Protocol, Heartbeat Protocol, Heartbleed Attack (0) | 2024.06.07 |
| [Heartbleed attack] payload length field 조작을 통해 victim server memory disclosure [SEED Labs - 8] (0) | 2024.05.30 |