hwaudkiller - RunkIntel

# HWAudKiller > [!danger] BYOVD - Evasão de EDR > Driver malicioso que explora vulnerabilidades em drivers legítimos de hardware de áudio (BYOVD) para desabilitar soluções de segurança endpoint. Técnica avançada de evasão de EDR. ## Visão Geral **HWAudKiller** é um componente de malware que utiliza a técnica **BYOVD (Bring Your Own Vulnerable Driver)** para desabilitar soluções de segurança endpoint. Ao carregar um driver legítimo e vulnerável de hardware de áudio, explora uma vulnerabilidade no driver para obter execução em modo kernel e encerrar processos de EDR/AV. A técnica BYOVD é especialmente eficaz porque os drivers abusados são frequentemente assinados digitalmente por fabricantes legítimos, tornando sua detecção mais difícil para soluções de segurança baseadas em assinatura. ## Características Técnicas - **Plataforma:** Windows (modo kernel) - **Técnica:** BYOVD - Bring Your Own Vulnerable Driver - **Driver explorado:** Driver legítimo de hardware de áudio com vulnerabilidade de escalação de privilégios - **Objetivo primário:** Desabilitar EDR/AV antes da fase de execução do payload principal - **Nível de sofisticação:** Alto - requer capacidade de desenvolvimento de drivers e conhecimento de kernel ## TTPs | Técnica | Descrição | |---------|-----------| | [[t1562-impair-defenses\|T1562]] | Desativação de EDR e soluções AV via exploração de driver | | [[t1014-rootkit\|T1014]] | Operação em modo kernel para evasão profunda | | [[t1543-create-or-modify-system-process\|T1543]] | Carregamento de driver como serviço do sistema | | [[t1055-process-injection\|T1055]] | Injeção de código em processos protegidos | | [[t1068-exploitation-for-privilege-escalation\|T1068]] | Exploração do driver vulnerável para escalação a SYSTEM | ## Contexto Técnico BYOVD A técnica BYOVD tem sido amplamente adotada por grupos APT e operadores de ransomware. Drivers de hardware legítimos frequentemente possuem vulnerabilidades de escalação de privilégios que nunca são corrigidas porque os fabricantes não as consideram uma superfície de ataque. Ferramentas similares de BYOVD incluem: - **EDRSandBlast** - framework BYOVD open-source - **AuKill** - BYOVD usado pelo grupo Medusa ransomware - **Terminator/Spyboy** - BYOVD comercializado em fóruns criminosos ## Mitigações Recomendadas > [!tip] Defesas > - Habilitar **Windows Defender Application Control (WDAC)** com bloqueio de drivers vulneráveis conhecidos > - Usar a lista de **LOLDrivers** para bloqueio de drivers maliciosos conhecidos > - Habilitar **Kernel DMA Protection** e **Vulnerable Driver Blocklist** no Windows Security Center > - Monitorar carregamento de drivers não assinados ou com assinaturas revogadas ## Referências - [LOLDrivers - Living Off The Land Drivers](https://www.loldrivers.io/) - [Microsoft - Recommended Driver Block Rules](https://learn.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/microsoft-recommended-driver-block-rules)