CyberVeille.ch4d ago

📢 KslDump : extraction de credentials LSASS via un driver Microsoft Defender vulnérable préinstallé
📝 ## 🔍 Contexte

Publié le 22 mars 2026 sur GitHub par l'utilisateur andreisss, cet article présente **KslDump**, un outil de recherche en sécurité off...
📖 cyberveille : https://cyberveille.ch/posts/2026-03-22-ksldump-extraction-de-credentials-lsass-via-un-driver-microsoft-defender-vulnerable-preinstalle/
🌐 source : https://github.com/andreisss/KslDump
#BYOVD #IOC #Cyberveille

KslDump : extraction de credentials LSASS via un driver Microsoft Defender vulnérable préinstallé

🔍 Contexte Publié le 22 mars 2026 sur GitHub par l’utilisateur andreisss, cet article présente KslDump, un outil de recherche en sécurité offensif exploitant un driver kernel Microsoft Defender (KslD.sys) pour extraire des credentials depuis LSASS protégé par PPL (Protected Process Light), sans recourir à aucun code ou driver tiers. ⚙️ Mécanisme de la vulnérabilité Le driver KslD.sys est livré avec Microsoft Defender, signé Microsoft, et expose un objet device \\.\KslD accessible depuis l’espace utilisateur. Il accepte l’IOCTL 0x222044 avec plusieurs sous-commandes critiques :

CyberVeille
DriverShield4d ago

DriverShield is live — a free platform for analyzing Windows kernel drivers (.sys) for vulnerabilities, rootkit behavior, and BYOVD attack patterns.

200+ drivers already analyzed through our 14-stage inspection pipeline.

No login required. Free REST API available.

https://drivershield.io

#infosec #cybersecurity #BYOVD #threathunting #malware #kernel #Windows #dfir #sigma #threatintel

DriverShield — Windows Kernel Driver Vulnerability Scanner & Malware Analysis

Upload and analyze Windows .sys driver files for vulnerabilities, dangerous APIs, exploit patterns, and malicious behavior.

DriverShield
CyberVeille.ch5d ago
📢 Warlock : analyse technique d'une chaîne d'attaque ransomware avec BYOVD et tunneling
📝 *Trend Micro dissèque une attaque du groupe Warlock combinant mouvement latéral, tunneling multi-outil...
📖 cyberveille : https://cyberveille.ch/posts/2026-03-21-warlock-analyse-technique-d-une-chaine-d-attaque-ransomware-avec-byovd-et-tunneling/
🌐 source : https://www.trendmicro.com/en_us/research/26/c/dissecting-a-warlock-attack.html
#BYOVD #Cloudflare_Tunnel__cloudflared_ #Cyberveille
Warlock : analyse technique d'une chaîne d'attaque ransomware avec BYOVD et tunneling

Trend Micro dissèque une attaque du groupe Warlock combinant mouvement latéral, tunneling multi-outils, BYOVD via NSecKrnl.sys et déploiement de ransomware par GPO.

CyberVeille
HabrMar 19

BYOVD-атаки на ядро Windows через драйверы: разбираю механику, воспроизвожу, строю защиту

Вы настроили Sysmon, у вас работает EDR, события летят в SIEM. Создаётся процесс, вы видите Event ID 1. Загружается DLL, Event ID 7. Всё под контролем. А теперь кто-то загружает в систему один .sys-файл. Обычный, подписанный, из прошлого века. И события пропадают. Не потому что Sysmon упал или EDR отключили. Они работают. Просто ядро Windows больше не считает нужным им что-то рассказывать. Я залез внутрь, чтобы понять, как это устроено. Поднял WinDbg, подключился к ядру, нашёл структуры, где хранятся callback'и мониторинга. Обнулил их, повторив технику руткита Lazarus. Sysmon на месте, PID живой, но лог пустой. Меня зовут Роман Мгоев, я специалист по анализу киберугроз в Альфа-Банке, в статье пройду этот путь целиком: начиная с архитектуры колец защиты Windows, byte-патчей в памяти ядра и разбора FudModule от Lazarus обеих версий, до свежих техник zerosalarium и разбора публичных тулкитов, а в конце поделюсь семью направлениями детектирования с готовыми правилами для SIEM. Отдельный блок — про аудит драйверов, которых ещё нет ни в одной базе.

https://habr.com/ru/companies/alfa/articles/1011302/

#BYOVD #EDR #Windows_kernel #Sysmon #SIEM #Lazarus #ransomware #reverse_engineering #SOC #detection_engineering

BYOVD-атаки на ядро Windows через драйверы: разбираю механику, воспроизвожу, строю защиту

Вы настроили Sysmon, у вас работает EDR, события летят в SIEM. Создаётся процесс, вы видите Event ID 1. Загружается DLL, Event ID 7. Всё под контролем. А теперь кто-то загружает в систему один...

Хабр
Teddy / Domingo (🇨🇵/🇬🇧)Mar 18
Warlock #Ransomware Group Augments Post-Exploitation Activities. In a recent attack, the group showcased stealthier cross-network activity, thanks to its use of a new #BYOVD technique and other #tools.
https://www.darkreading.com/threat-intelligence/warlock-ransomware-post-exploitation-activities
Warlock Ransomware Group Augments Post-Exploitation Activities

In a recent attack, the group showcased stealthier cross-network activity, thanks to its use of a new BYOVD technique and other tools.

Dark Reading
securityaffairsFeb 23
Wormable #XMRig campaign leverages #BYOVD and timed kill switch for stealth
https://securityaffairs.com/188388/malware/wormable-xmrig-campaign-leverages-byovd-and-timed-kill-switch-for-stealth.html
#securityaffairs #hacking #malware
Wormable XMRig campaign leverages BYOVD and timed kill switch for stealth

A wormable cryptojacking campaign spreads via pirated software, using BYOVD and a time-based logic bomb to deploy a custom XMRig miner.

Security Affairs
CyberVeille.chFeb 16
📢 S2W analyse le ransomware DragonForce, son RaaS « RansomBay » et ses variantes Windows/Linux
📝 Source : S2W (TALON) — Dans « Inside the Ecosystem, Operations: DragonForce », S2W dresse un panorama techn...
📖 cyberveille : https://cyberveille.ch/posts/2026-02-16-s2w-analyse-le-ransomware-dragonforce-son-raas-ransombay-et-ses-variantes-windows-linux/
🌐 source : https://medium.com/s2wblog/inside-the-ecosystem-operations-dragonforce-11048db4cbb0
#BYOVD #DragonForce #Cyberveille
S2W analyse le ransomware DragonForce, son RaaS « RansomBay » et ses variantes Windows/Linux

Source : S2W (TALON) — Dans « Inside the Ecosystem, Operations: DragonForce », S2W dresse un panorama technique et opérationnel du groupe ransomware DragonForce, actif depuis décembre 2023, en couvrant son cartel RaaS, son Data Leak Site (DLS), son panel affiliés, et l’évolution de ses binaires Windows et Linux. Le groupe a émergé avec des fuites de données sur BreachForums, en s’appuyant sur des éléments des codes sources LockBit 3.0 (LockBit Black) et Conti. Au 01/2026, le builder basé LockBit 3.0 n’est plus disponible. DragonForce promeut son écosystème via le service RansomBay et des offres différenciantes (p. ex. Harassment Calling, Data Analysis) pour élargir son influence RaaS.

CyberVeille
securityaffairsFeb 11
#Reynolds #ransomware uses #BYOVD to disable security before encryption
https://securityaffairs.com/187869/security/reynolds-ransomware-uses-byovd-to-disable-security-before-encryption.html
#securityaffairs #hacking #malware
Reynolds ransomware uses BYOVD to disable security before encryption

Researchers discovered Reynolds ransomware, which uses BYOVD technique to disable security tools and evade detection before encryption.

Security Affairs
Manuel BisseyFeb 11

Reynolds ransomware embeds a BYOVD driver to disable security tools before encryption — trusted drivers turned into attack enablers. Defense must look below the surface. 🚗💣 #BYOVD #Ransomware

https://thehackernews.com/2026/02/reynolds-ransomware-embeds-byovd-driver.html

Reynolds Ransomware Embeds BYOVD Driver to Disable EDR Security Tools

Researchers uncover Reynolds ransomware embedding a vulnerable BYOVD driver to kill EDR defenses, signaling advanced evasion in ransomware attacks.

The Hacker News
Manuel BisseyFeb 10

Black Basta is bundling BYOVD techniques into ransomware payloads — abusing legit drivers to kill defenses before detonation. When trust is weaponized, detection must go deeper. 💣🧠 #BYOVD #Ransomware

https://www.darkreading.com/threat-intelligence/black-basta-bundles-byovd-ransomware-payload