DeathShotXD/0xKern3lCrush-Foreverday-BYOVD-CVE-2026-0828
GitHub: DeathShotXD/0xKern3lCrush-Foreverday-BYOVD-CVE-2026-0828
一个聚焦 BYOVD 与内核威胁的研究仓库,提供 CVE-2026-0828 与 CVE-2025-7771 的静态分析与战术洞察。
Stars: 36 | Forks: 2
# 💀 0xKern3lCrush-M4te-CVE-2026-0828
# Windows BYOVD 研究 & 端点侦察笔记
**仅限教育/安全研究用途。**
目标:通过公开披露记录并理解“自带脆弱驱动”(BYOVD)技术 — **不包含任何可工作的漏洞利用代码**。
本仓库收集:
- 安全的用户态侦察代码(通过 Toolhelp32 API 进行进程枚举)
- 静态分析工件及真实 BYOVD 案例的笔记
- 不包含内核模式代码、不包含 IOCTL 调用逻辑、不包含进程终止例程
### ⚠️ 关键伦理与法律警告(请先阅读)
- 本仓库 **不是** 漏洞利用交付机制。
- **不要** 在任何系统上加载包含的驱动样本 — 即使在隔离虚拟机中也需使用快照回滚。
- 在未获明确授权的情况下,加载已签名但脆弱的驱动或发送恶意 IOCTL 在多数国家属于重罪(计算机欺诈、未经授权访问等)。
- 仅在你拥有或已获得书面许可的系统上使用。
- 即便“研究”活动也可能导致机器变砖、操作系统损坏或触发不可逆的 EDR 告警。
### 动机
EDR/AV 产品越来越多地保护其自身进程(PPL、受保护进程轻量级、受限令牌)。
攻击者通过 **BYOVD** 绕过:投放一个合法但存在漏洞的签名驱动 → 滥用弱 IOCTL 处理器 → 实现内核级任意进程杀除 / 内存读写 / 等。
本仓库帮助红蓝队:
- 识别恶意软件中的 BYOVD 模式(如 MedusaLocker、Qilin、Storm-2603 等)
- 理解脆弱驱动设计缺陷
- 构建更优检测能力(驱动黑名单、WDAC 规则、IOCTL 监控)
### 关键文件
- `src/0xPoC.c`
安全的只读进程枚举 — 列出常见 EDR/AV/EDR 服务名称。这是进行任何假设性高级技术前的第一步侦察。
- `drivers/0xhashes.md`
**工件识别** — 包含 SHA256 校验值并链接到公开研究镜像。本仓库 **不托管** 二进制驱动。
### 研究案例:CVE-2026-0828 — Safetica ProcessMonitorDriver.sys
- **发布时间**:2026 年 1 月(KOSEC 研究最初为 2025 年 11 月)
- **驱动**:`ProcessMonitorDriver.sys`(Safetica Endpoint Client x64)
- **受影响版本**:10.5.75.0、11.11.4.0
- **已知哈希值** → 请参见 `drivers/0xhashes.md`
- **漏洞**:无权限用户可滥用暴露的 IOCTL 处理器以终止任意进程(包括受保护/系统关键进程)
- **根本原因**:调用方权限验证缺失 + IOCTL 路径上的输入 sanitization 不当
- **影响**:内核级进程终止(类似 PsTerminateProcess)→ 绕过 Safetica DLL/监控 → 数据外泄、勒索软件 staging
- **真实场景**:经典 BYOVD 原语 — 攻击者投放驱动 → 杀 EDR → 推进载荷
- **状态**:截至 2026 年 2 月,未有厂商公开确认补丁;已发布 CERT VU#818729(2026 年 1 月 20 日)
详细笔记 → `research/0xsafetica-cve-2026-0828.md`
### 研究案例:CVE-2025-7771 — ThrottleStop.sys 被 MedusaLocker 勒索软件滥用
MedusaLocker(RaaS 自 2019 年起)在真实攻击中利用了 **ThrottleStop.sys**(TechPowerUp CPU 降频工具驱动),尤其在巴西的一起事件中被 Kaspersky 分析(2025 年 8 月)。这展示出比简单 IOCTL 杀进程更复杂的 BYOVD 流程。
- **驱动**:`ThrottleStop.sys`(被攻击者重命名为 `ThrottleBlood.sys`),由 TechPowerUp 签名(DigiCert EV,2020 证书)
- **漏洞**:CVE-2025-7771 — 暴露 IOCTL,允许通过 `MmMapIoSpace` 进行任意物理内存读写;无适当访问检查 → 用户态应用可修补内核内存并调用 Ring-0 函数
- **利用流程(仅概念/分析)**:
1. 加载重命名驱动(`ThrottleBlood.sys`)为服务 → 创建设备 `\\.\ThrottleStop`
2. 使用用户态工具(`All.exe` 或类似)发送脆弱 IOCTL(例如代码 0x80006498 读 / 0x8000649C 写)
3. 绕过 KASLR:通过 `NtQuerySystemInformation(SystemModuleInformation)` 查询内核基址
4. 翻译虚拟 → 物理地址(常通过 SuperFetch 信息泄露技术)
5. 读/写内核内存 → 覆写极少使用函数(例如 `NtAddAtom`)并植入 shellcode 钩子
6. 钩跳至 `PsLookupProcessById` + `PsTerminateProcess` → 批量杀除 AV/EDR 进程(硬编码列表:MsMpEng.exe、CSFalconService.exe、ekrn.exe 等)
7. 恢复原始代码以避免崩溃 → 投放 MedusaLocker 变种
- **影响**:内核“上帝模式”杀除受保护进程 → 禁用 CrowdStrike、Bitdefender、Kaspersky、McAfee、Defender 等 → 勒索软件加密成功
- **真实场景**:RDP 凭证窃取 → Mimikatz → Pass-the-Hash 横向移动 → 杀 AV → 投放 MedusaLocker。自 2024 年 10 月左右起活跃,目标俄罗斯、巴西、欧洲。
- **状态**:厂商正在准备补丁(截至 2025 年);最初未在 MS 阻止列表上。
详细技术分析 → `research/0xthrottlestop-medusalocker.md`
主要来源:Kaspersky Securelist(2025 年 8 月)— https://securelist.com/av-killer-exploiting-throttlestop-sys/117026/
### 其他案例
更广泛的 BYOVD 趋势 → 2024–2026 年数十种已签名脆弱驱动被滥用(详见 `research/0xbyovd-patterns.md`)
### 构建与运行(仅安全侦察)
```
# 从开发者命令提示符 (VS)
cl.exe /EHsc /W4 src/0xPoC.c
0xPoC.exe
```
**仅限教育/安全研究用途。**
目标:通过公开披露记录并理解“自带脆弱驱动”(BYOVD)技术 — **不包含任何可工作的漏洞利用代码**。
本仓库收集:
- 安全的用户态侦察代码(通过 Toolhelp32 API 进行进程枚举)
- 静态分析工件及真实 BYOVD 案例的笔记
- 不包含内核模式代码、不包含 IOCTL 调用逻辑、不包含进程终止例程
### ⚠️ 关键伦理与法律警告(请先阅读)
- 本仓库 **不是** 漏洞利用交付机制。
- **不要** 在任何系统上加载包含的驱动样本 — 即使在隔离虚拟机中也需使用快照回滚。
- 在未获明确授权的情况下,加载已签名但脆弱的驱动或发送恶意 IOCTL 在多数国家属于重罪(计算机欺诈、未经授权访问等)。
- 仅在你拥有或已获得书面许可的系统上使用。
- 即便“研究”活动也可能导致机器变砖、操作系统损坏或触发不可逆的 EDR 告警。
### 动机
EDR/AV 产品越来越多地保护其自身进程(PPL、受保护进程轻量级、受限令牌)。
攻击者通过 **BYOVD** 绕过:投放一个合法但存在漏洞的签名驱动 → 滥用弱 IOCTL 处理器 → 实现内核级任意进程杀除 / 内存读写 / 等。
本仓库帮助红蓝队:
- 识别恶意软件中的 BYOVD 模式(如 MedusaLocker、Qilin、Storm-2603 等)
- 理解脆弱驱动设计缺陷
- 构建更优检测能力(驱动黑名单、WDAC 规则、IOCTL 监控)
### 关键文件
- `src/0xPoC.c`
安全的只读进程枚举 — 列出常见 EDR/AV/EDR 服务名称。这是进行任何假设性高级技术前的第一步侦察。
- `drivers/0xhashes.md`
**工件识别** — 包含 SHA256 校验值并链接到公开研究镜像。本仓库 **不托管** 二进制驱动。
### 研究案例:CVE-2026-0828 — Safetica ProcessMonitorDriver.sys
- **发布时间**:2026 年 1 月(KOSEC 研究最初为 2025 年 11 月)
- **驱动**:`ProcessMonitorDriver.sys`(Safetica Endpoint Client x64)
- **受影响版本**:10.5.75.0、11.11.4.0
- **已知哈希值** → 请参见 `drivers/0xhashes.md`
- **漏洞**:无权限用户可滥用暴露的 IOCTL 处理器以终止任意进程(包括受保护/系统关键进程)
- **根本原因**:调用方权限验证缺失 + IOCTL 路径上的输入 sanitization 不当
- **影响**:内核级进程终止(类似 PsTerminateProcess)→ 绕过 Safetica DLL/监控 → 数据外泄、勒索软件 staging
- **真实场景**:经典 BYOVD 原语 — 攻击者投放驱动 → 杀 EDR → 推进载荷
- **状态**:截至 2026 年 2 月,未有厂商公开确认补丁;已发布 CERT VU#818729(2026 年 1 月 20 日)
详细笔记 → `research/0xsafetica-cve-2026-0828.md`
### 研究案例:CVE-2025-7771 — ThrottleStop.sys 被 MedusaLocker 勒索软件滥用
MedusaLocker(RaaS 自 2019 年起)在真实攻击中利用了 **ThrottleStop.sys**(TechPowerUp CPU 降频工具驱动),尤其在巴西的一起事件中被 Kaspersky 分析(2025 年 8 月)。这展示出比简单 IOCTL 杀进程更复杂的 BYOVD 流程。
- **驱动**:`ThrottleStop.sys`(被攻击者重命名为 `ThrottleBlood.sys`),由 TechPowerUp 签名(DigiCert EV,2020 证书)
- **漏洞**:CVE-2025-7771 — 暴露 IOCTL,允许通过 `MmMapIoSpace` 进行任意物理内存读写;无适当访问检查 → 用户态应用可修补内核内存并调用 Ring-0 函数
- **利用流程(仅概念/分析)**:
1. 加载重命名驱动(`ThrottleBlood.sys`)为服务 → 创建设备 `\\.\ThrottleStop`
2. 使用用户态工具(`All.exe` 或类似)发送脆弱 IOCTL(例如代码 0x80006498 读 / 0x8000649C 写)
3. 绕过 KASLR:通过 `NtQuerySystemInformation(SystemModuleInformation)` 查询内核基址
4. 翻译虚拟 → 物理地址(常通过 SuperFetch 信息泄露技术)
5. 读/写内核内存 → 覆写极少使用函数(例如 `NtAddAtom`)并植入 shellcode 钩子
6. 钩跳至 `PsLookupProcessById` + `PsTerminateProcess` → 批量杀除 AV/EDR 进程(硬编码列表:MsMpEng.exe、CSFalconService.exe、ekrn.exe 等)
7. 恢复原始代码以避免崩溃 → 投放 MedusaLocker 变种
- **影响**:内核“上帝模式”杀除受保护进程 → 禁用 CrowdStrike、Bitdefender、Kaspersky、McAfee、Defender 等 → 勒索软件加密成功
- **真实场景**:RDP 凭证窃取 → Mimikatz → Pass-the-Hash 横向移动 → 杀 AV → 投放 MedusaLocker。自 2024 年 10 月左右起活跃,目标俄罗斯、巴西、欧洲。
- **状态**:厂商正在准备补丁(截至 2025 年);最初未在 MS 阻止列表上。
详细技术分析 → `research/0xthrottlestop-medusalocker.md`
主要来源:Kaspersky Securelist(2025 年 8 月)— https://securelist.com/av-killer-exploiting-throttlestop-sys/117026/
### 其他案例
更广泛的 BYOVD 趋势 → 2024–2026 年数十种已签名脆弱驱动被滥用(详见 `research/0xbyovd-patterns.md`)
### 构建与运行(仅安全侦察)
```
# 从开发者命令提示符 (VS)
cl.exe /EHsc /W4 src/0xPoC.c
0xPoC.exe
```
标签:0day挖掘, API接口, Bro, BYOVD, CVE-2025-7771, CVE-2026-0828, EDR-Killer, EDR绕过, IOCTL, MedusaLocker, PPL绕过, Qilin, Ring 0, Safetica, Secure Boot, SIP, Storm-2603, ThrottleStop, Web报告查看器, WPBT, 内核原语, 内核安全, 内核模式, 内核读写, 威胁情报, 客户端加密, 开发者工具, 漏洞分析, 漏洞驱动, 物理内存访问, 研究笔记, 红队技术, 蓝队检测, 路径探测, 进程终止, 驱动安全, 驱动签名绕过, 高交互蜜罐