设备驱动程序探测是攻击者通过枚举系统加载的驱动信息来识别安全防御机制、虚拟化环境或潜在漏洞的侦察技术。攻击者通常利用系统内置工具(如Windows的driverquery或Linux的lsmod)、API接口或注册表查询获取驱动版本、加载状态及关联服务等情报,为后续权限提升或防御规避提供支撑。传统防御手段主要依赖驱动加载监控、系统工具行为分析以及注册表变更检测等技术,通过识别非常规驱动查询行为或异常API调用模式进行威胁发现。
现有设备驱动探测匿迹技术的核心思路聚焦于攻击行为的合法化重构与系统机制滥用。攻击者通过利用系统信任链掩盖恶意意图,并创新性地将探测操作与系统管理行为进行时空融合:内存驻留探测通过无文件化技术剥离攻击链与存储介质的关联,使传统基于磁盘监控的防御体系失效;工具链劫持技术则深度利用系统管理工具的白名单属性,将恶意代码执行隐藏在合法的驱动维护流程中;驱动加载伪装通过构建虚拟化探测环境,在完整模拟合法驱动加载过程的同时实现操作痕迹的自动化消除。三类技术的共性在于突破传统进程行为分析框架,通过系统信任机制的逆向利用和操作上下文的精确仿真,使得驱动探测行为在进程树、日志记录、文件指纹等多个维度均呈现合法特征,显著提升隐蔽性。
| 效应类型 | 是否存在 |
|---|---|
| 特征伪装 | ✅ |
| 行为透明 | ✅ |
| 数据遮蔽 | ✅ |
| 时空释痕 | ❌ |
攻击者通过滥用合法系统工具和伪造驱动签名,将探测行为伪装成正常的驱动维护操作。例如劫持driverquery.exe的执行流程,使其输出结果包含恶意探测指令,或使用WHQL认证的签名证书为恶意加载器提供信任背书。此类手法使得驱动探测活动在进程行为、代码签名等维度均呈现合法特征,规避基于特征匹配的检测机制。
通过利用未公开的内核API或虚拟化技术,攻击者实现驱动探测行为的"零日志"操作。例如直接操作内核对象结构获取驱动信息,避免触发用户层API调用记录;或利用内存驻留技术使探测代码在释放后不留痕迹。这些手法导致传统基于日志审计的行为追溯机制失效,形成检测盲区。
采用内存加密通信和临时文件自毁机制,对探测过程中产生的中间数据实施动态遮蔽。例如通过进程间通信(IPC)通道加密传输驱动信息,使用内存映射文件替代磁盘存储,并在操作完成后立即擦除相关内存区域。此类措施使得防御方难以获取完整的攻击链证据,阻碍取证分析。
| ID | Name | Description |
|---|---|---|
| S0376 | HOPLIGHT |
HOPLIGHT can enumerate device drivers located in the registry at |
| S1139 | INC Ransomware |
INC Ransomware can verify the presence of specific drivers on compromised hosts including Microsoft Print to PDF and Microsoft XPS Document Writer.[2] |
| S0125 | Remsec |
Remsec has a plugin to detect active drivers of some security products.[3] |
This type of attack technique cannot be easily mitigated with preventive controls since it is based on the abuse of system features.
| ID | Data Source | Data Component | Detects |
|---|---|---|---|
| DS0017 | Command | Command Execution |
Monitor executed commands ( |
| DS0009 | Process | OS API Execution |
Monitor for API calls (such as |
| Process Creation |
Monitor processes ( |
||
| DS0024 | Windows Registry | Windows Registry Key Access |
Monitor for attempts to access information stored in the Registry about devices and their associated drivers, such as values under |