En la planificación de un Red Teaming, BYOVD (Bring Your Own Vulnerable Driver) funciona como una lupa para entender hasta dónde llegan las defensas cuando un driver externo, firmado pero vulnerable, podría infiltrarse. Este artículo, desde un marco educativo y autorizado, revela las implicaciones para detección, respuesta y fortalecimiento operativo. Acompáñanos para descubrir ideas prácticas que convierten una simulación en una defensa más proactiva y consciente.
Ciclo de vida de un ejercicio de Read Timing
En el proceso de planificación de un ejercicio de Red Teaming, se especifican las fases del ciclo de vida de este, con el objetivo de establecer una guía común para todos los interesados:
Desde el reconocimiento externo y el acceso inicial a la víctima, hasta las fases de exfiltración de la información e impacto sobre las capacidades operativas, tanto cibercriminales como hackers éticos aplican diversas técnicas de evasión de defensas. Estas técnicas permiten mantenerse sigilosos frente a soluciones como EDR, SIEM o Firewalls. Una de estas técnicas, ampliamente utilizadas es conocida como “Bring Your Own Vulnerable Driver” (BYOVD).
“Bring Your Own Vulnerable Driver” (BYOVD)
Esta técnica es ampliamente utilizada por grupos de amenazas, así como por profesionales de la seguridad ofensiva, para pasar inadvertidos y llevar a cabo acciones que previamente hubieran sido bloqueadas.
Para lograr acceder a un sistema, los cibercriminales y grupos de amenazas aprovechan vulnerabilidades en el software ya presentes en el objetivo. La técnica BYOVD sigue una filosofía diferente: si se consigue inyectar en el sistema operativo un componente externo, firmado y confiable, pero vulnerable, se podrá aprovechar para llevar a cabo operativas para las que previamente no se tenían permisos.
De este modo, se incorpora software con vulnerabilidades (reconocidas o zero-day) para posteriormente ser explotados.
Nuestro equipo de seguridad ha detectado vulnerabilidades que permiten la ejecución de un ataque BYOVD
¿A qué nos enfrentamos?
Este software opera con privilegios incluso superiores a los de un administrador, por lo que un malware especialmente diseñado para explotar estas vulnerabilidades puede realizar acciones como:
Desactivar EDR y SIEM
Desactivar protecciones nativas del sistema operativo
Bloquear la comunicación entre el equipo y una consola de administración. de seguridad en la nube
Exfiltrar información sin dejar rastro
Desplegar ransomware sin obstáculos
Los proveedores de soluciones de seguridad, como Sophos, Crowdstrike o Microsoft, actualizan periódicamente sus listas de bloqueo de componentes vulnerables para detectar cuándo una de estas piezas de software es incorporada al sistema, evitando de este modo gran parte de los ataques de esta naturaleza.
Más allá de la confianza...
BYOVD demuestra que la firma de controladores no garantiza la seguridad; la integridad y el comportamiento de los componentes deben vigilarse más allá de la firma. Una defensa en capas implica gestionar la carga de drivers, aplicar políticas de firma, endurecer módulos y detectar firmas o comportamientos anómalos; la gestión de vulnerabilidades y de la cadena de suministro, junto con privilegios mínimos y monitorización continua, fortalecen la postura de seguridad.
Un Red Teaming autorizado debe traducirse en mejoras prácticas de detección y respuesta ante incidentes y en la actualización de procedimientos.
Solicita una evaluación gratuita de tu nivel de ciberseguridad
