CyberVeille.ch4d ago

📢 LOLDrivers : ajout de nouveaux drivers vulnérables IoBitUnlocker, Zemana et TfSysMon utilisés en BYOVD
📝 ## 🔍 Contexte

Le 13 mars 2026, une pull request (#221) a été fusionnée dans le dépôt public **LOLDrivers** (magicsword-io),...
📖 cyberveille : https://cyberveille.ch/posts/2026-04-05-loldrivers-ajout-de-nouveaux-drivers-vulnerables-iobitunlocker-zemana-et-tfsysmon-utilises-en-byovd/
🌐 source : https://github.com/magicsword-io/LOLDrivers/pull/221
#BYOVD #IOC #Cyberveille

LOLDrivers : ajout de nouveaux drivers vulnérables IoBitUnlocker, Zemana et TfSysMon utilisés en BYOVD

🔍 Contexte Le 13 mars 2026, une pull request (#221) a été fusionnée dans le dépôt public LOLDrivers (magicsword-io), un projet de référencement de drivers légitimes mais vulnérables exploitables dans des attaques BYOVD (Bring Your Own Vulnerable Driver). La contribution a été initiée par le chercheur mnznndr97 le 28 mars 2025 et approuvée après plusieurs mois de revue. 🧩 Contenu de la contribution Trois nouveaux drivers vulnérables ont été documentés et ajoutés au référentiel :

CyberVeille
CyberVeille.ch4d ago

📢 Rétro-ingénierie de gdrv3.sys (Gigabyte) : 13 primitives d'accès matériel exploitables en BYOVD
📝 ## 🔍 Contexte

Article de recherche publié le 02 mai 2026 sur le blog personnel d'Aaron Haymore (zonifer.dev).
📖 cyberveille : https://cyberveille.ch/posts/2026-04-05-retro-ingenierie-de-gdrv3-sys-gigabyte-13-primitives-d-acces-materiel-exploitables-en-byovd/
🌐 source : https://zonifer.dev/posts/byovd-kernel-driver-hardware-primitives.html
#BYOVD #Gigabyte #Cyberveille

Rétro-ingénierie de gdrv3.sys (Gigabyte) : 13 primitives d'accès matériel exploitables en BYOVD

🔍 Contexte Article de recherche publié le 02 mai 2026 sur le blog personnel d’Aaron Haymore (zonifer.dev). L’auteur présente une analyse technique complète du pilote noyau gdrv3.sys livré avec Gigabyte APP Center, dans le cadre d’une étude sur les attaques BYOVD (Bring Your Own Vulnerable Driver). 🎯 Objet de l’analyse Le pilote gdrv3.sys (MD5 : 2791bbd810b9bc086bb1631e0f16c821) est un pilote WDF signé par Microsoft, déposé dans C:\Windows\System32\drivers lors de l’installation de Gigabyte APP Center. L’analyse de sa table d’imports dans Ghidra révèle des fonctions dangereuses : MmMapIoSpace, MmGetPhysicalAddress, MmAllocateContiguousMemory, MmMapLockedPagesSpecifyCache, RDMSR/WRMSR.

CyberVeille
CyberNetsecIOApr 21

📰 Qilin Ransomware Blinds Defenses with Advanced EDR Killer, Abusing Vulnerable Drivers

🔥 Qilin ransomware deploys a sophisticated EDR killer, using a vulnerable signed driver (BYOVD) to disable over 300 security products at the kernel level. A major escalation in defense evasion tactics. #Ransomware #Qilin #EDR #CyberSecurity #BYOVD

🔗 https://cyber.netsecops.io/articles/qilin-ransomware-deploys-advanced-edr-killer-to-blind-defenses/?utm_source=mastodon&utm_medium=so…

Qilin Ransomware Blinds Defenses with Advanced EDR Killer, Abusing Vulnerable Drivers

The Qilin ransomware group is using a sophisticated, multi-stage attack with a "bring your own vulnerable driver" (BYOVD) technique to disable hundreds of EDR solutions before encryption.

CyberNetSec.io
CyberVeille.chApr 12

📢 Driver vulnérable ASTRA64.sys (EnTech Taiwan) : primitives kernel exposées sans validation
📝 ## 🔍 Contexte

Une issue a été ouverte le 8 avril 2026 sur le dépôt GitHub **LOLDrivers** (magicsword-io) par le chercheur `@weezerOSINT`,...
📖 cyberveille : https://cyberveille.ch/posts/2026-04-12-driver-vulnerable-astra64-sys-entech-taiwan-primitives-kernel-exposees-sans-validation/
🌐 source : https://github.com/magicsword-io/LOLDrivers/issues/294
#ASTRA64_sys #BYOVD #Cyberveille

Driver vulnérable ASTRA64.sys (EnTech Taiwan) : primitives kernel exposées sans validation

🔍 Contexte Une issue a été ouverte le 8 avril 2026 sur le dépôt GitHub LOLDrivers (magicsword-io) par le chercheur @weezerOSINT, signalant la soumission d’un driver vulnérable : ASTRA64.sys, produit par EnTech Taiwan / Sysinfo Lab. 🛠️ Description technique du driver Nom de fichier : ASTRA64.sys Architecture : x64 (variante 32-bit également existante) Signé : Oui, par EnTech Taiwan (certificat GlobalSign 2006) SHA256 : 4a8b6b462c4271af4a32cf8705fa64913bfcdaefb6cf02d1e722c611d428cb16 Device exposé : \Device\Astra32Device{n} Chargement : Fonctionne sur tout système Windows x64 sans restriction ⚠️ Vulnérabilités identifiées Le driver expose 31 IOCTLs à l’espace utilisateur sans aucune validation de paramètres et sans restriction DACL (IoCreateDevice simple) :

CyberVeille
CyberVeille.chApr 9

📢 Qilin et Warlock ransomware exploitent la technique BYOVD pour neutraliser les outils de sécurité
📝 ## 🗓️ Contexte

Publié le 6 avril 2026 par The Hacker News, cet article s'appuie sur des recherches de **Cisco T...
📖 cyberveille : https://cyberveille.ch/posts/2026-04-09-qilin-et-warlock-ransomware-exploitent-la-technique-byovd-pour-neutraliser-les-outils-de-securite/
🌐 source : https://thehackernews.com/2026/04/qilin-and-warlock-ransomware-use.html
#BYOVD #IOC #Cyberveille

Qilin et Warlock ransomware exploitent la technique BYOVD pour neutraliser les outils de sécurité

🗓️ Contexte Publié le 6 avril 2026 par The Hacker News, cet article s’appuie sur des recherches de Cisco Talos et Trend Micro portant sur les opérations ransomware Qilin et Warlock. 🎯 Technique utilisée : BYOVD Les deux groupes ont été observés en train d’utiliser la technique Bring Your Own Vulnerable Driver (BYOVD), qui consiste à déployer un pilote légitime mais vulnérable afin de contourner ou neutraliser les outils de sécurité actifs sur les hôtes compromis.

CyberVeille
CyberVeille.chApr 5

📢 Analyse technique de la chaîne d'infection EDR killer de Qilin ransomware via msimg32.dll
📝 ## 🔍 Contexte

Publié le 2 avril 2026 par Takahiro Takeda sur le blog Cisco Talos Intelligence, cet article constitue une analyse tech...
📖 cyberveille : https://cyberveille.ch/posts/2026-04-05-analyse-technique-de-la-chaine-d-infection-edr-killer-de-qilin-ransomware-via-msimg32-dll/
🌐 source : https://blog.talosintelligence.com/qilin-edr-killer/
#BYOVD #DLL_Side_Loading #Cyberveille

CyberVeille.chMar 23

📢 KslDump : extraction de credentials LSASS via un driver Microsoft Defender vulnérable préinstallé
📝 ## 🔍 Contexte

Publié le 22 mars 2026 sur GitHub par l'utilisateur andreisss, cet article présente **KslDump**, un outil de recherche en sécurité off...
📖 cyberveille : https://cyberveille.ch/posts/2026-03-22-ksldump-extraction-de-credentials-lsass-via-un-driver-microsoft-defender-vulnerable-preinstalle/
🌐 source : https://github.com/andreisss/KslDump
#BYOVD #IOC #Cyberveille

KslDump : extraction de credentials LSASS via un driver Microsoft Defender vulnérable préinstallé

🔍 Contexte Publié le 22 mars 2026 sur GitHub par l’utilisateur andreisss, cet article présente KslDump, un outil de recherche en sécurité offensif exploitant un driver kernel Microsoft Defender (KslD.sys) pour extraire des credentials depuis LSASS protégé par PPL (Protected Process Light), sans recourir à aucun code ou driver tiers. ⚙️ Mécanisme de la vulnérabilité Le driver KslD.sys est livré avec Microsoft Defender, signé Microsoft, et expose un objet device \\.\KslD accessible depuis l’espace utilisateur. Il accepte l’IOCTL 0x222044 avec plusieurs sous-commandes critiques :

CyberVeille
DriverShieldMar 22

DriverShield is live — a free platform for analyzing Windows kernel drivers (.sys) for vulnerabilities, rootkit behavior, and BYOVD attack patterns.

200+ drivers already analyzed through our 14-stage inspection pipeline.

No login required. Free REST API available.

https://drivershield.io

#infosec #cybersecurity #BYOVD #threathunting #malware #kernel #Windows #dfir #sigma #threatintel

DriverShield — Windows Kernel Driver Vulnerability Scanner & Malware Analysis

Upload and analyze Windows .sys driver files for vulnerabilities, dangerous APIs, exploit patterns, and malicious behavior.

DriverShield
CyberVeille.chMar 21
📢 Warlock : analyse technique d'une chaîne d'attaque ransomware avec BYOVD et tunneling
📝 *Trend Micro dissèque une attaque du groupe Warlock combinant mouvement latéral, tunneling multi-outil...
📖 cyberveille : https://cyberveille.ch/posts/2026-03-21-warlock-analyse-technique-d-une-chaine-d-attaque-ransomware-avec-byovd-et-tunneling/
🌐 source : https://www.trendmicro.com/en_us/research/26/c/dissecting-a-warlock-attack.html
#BYOVD #Cloudflare_Tunnel__cloudflared_ #Cyberveille
Warlock : analyse technique d'une chaîne d'attaque ransomware avec BYOVD et tunneling

Trend Micro dissèque une attaque du groupe Warlock combinant mouvement latéral, tunneling multi-outils, BYOVD via NSecKrnl.sys et déploiement de ransomware par GPO.

CyberVeille
HabrMar 19

BYOVD-атаки на ядро Windows через драйверы: разбираю механику, воспроизвожу, строю защиту

Вы настроили Sysmon, у вас работает EDR, события летят в SIEM. Создаётся процесс, вы видите Event ID 1. Загружается DLL, Event ID 7. Всё под контролем. А теперь кто-то загружает в систему один .sys-файл. Обычный, подписанный, из прошлого века. И события пропадают. Не потому что Sysmon упал или EDR отключили. Они работают. Просто ядро Windows больше не считает нужным им что-то рассказывать. Я залез внутрь, чтобы понять, как это устроено. Поднял WinDbg, подключился к ядру, нашёл структуры, где хранятся callback'и мониторинга. Обнулил их, повторив технику руткита Lazarus. Sysmon на месте, PID живой, но лог пустой. Меня зовут Роман Мгоев, я специалист по анализу киберугроз в Альфа-Банке, в статье пройду этот путь целиком: начиная с архитектуры колец защиты Windows, byte-патчей в памяти ядра и разбора FudModule от Lazarus обеих версий, до свежих техник zerosalarium и разбора публичных тулкитов, а в конце поделюсь семью направлениями детектирования с готовыми правилами для SIEM. Отдельный блок — про аудит драйверов, которых ещё нет ни в одной базе.

https://habr.com/ru/companies/alfa/articles/1011302/

#BYOVD #EDR #Windows_kernel #Sysmon #SIEM #Lazarus #ransomware #reverse_engineering #SOC #detection_engineering

BYOVD-атаки на ядро Windows через драйверы: разбираю механику, воспроизвожу, строю защиту

Вы настроили Sysmon, у вас работает EDR, события летят в SIEM. Создаётся процесс, вы видите Event ID 1. Загружается DLL, Event ID 7. Всё под контролем. А теперь кто-то загружает в систему один...

Хабр