BYOVD paso a paso: la anatomía del ataque que puede desactivar tu EDR

La evolución de las amenazas cibernéticas ha llevado a los atacantes a desarrollar técnicas cada vez más sofisticadas para evadir las soluciones de seguridad tradicionales. Una de las más preocupantes en los últimos años es BYOVD (Bring Your Own Vulnerable Driver), una técnica que permite a los ciberdelincuentes aprovechar controladores legítimos pero vulnerables para obtener privilegios a nivel de kernel y desactivar herramientas de protección como EDR, antivirus y sistemas de monitoreo.

En otras palabras, el atacante no necesita explotar una vulnerabilidad desconocida ni desarrollar malware complejo desde cero. Puede utilizar componentes legítimos del sistema para convertir las propias capacidades del sistema operativo en una ventaja ofensiva.

¿Qué es un ataque BYOVD?

BYOVD consiste en cargar un controlador (driver) legítimo que contiene vulnerabilidades conocidas y explotables. Una vez cargado, el atacante puede utilizarlo para ejecutar acciones privilegiadas dentro del kernel de Windows.

Debido a que estos drivers suelen estar firmados digitalmente y fueron desarrollados por fabricantes legítimos, pueden pasar desapercibidos para muchos mecanismos de protección.

El objetivo principal suele ser obtener acceso privilegiado para:

• Desactivar soluciones EDR y antivirus.

• Eliminar mecanismos de monitoreo.

• Ocultar actividades maliciosas.

• Facilitar el despliegue de ransomware.

• Mantener persistencia en el sistema comprometido.

Anatomía del ataque

Recientes investigaciones han documentado campañas donde los atacantes utilizan una cadena de ejecución similar a la siguiente:

msimg32.dll → shell32.dll → rwdrv.sys → hlpdrv.sys

Aunque los detalles pueden variar entre campañas, el proceso sigue una lógica común:

1. Carga inicial

Los atacantes ejecutan componentes aparentemente legítimos o DLLs manipuladas para iniciar la cadena de ataque.

2. Instalación del driver vulnerable

Posteriormente se carga un controlador vulnerable que proporciona acceso a funciones privilegiadas del kernel.

3. Escalada de privilegios

A través del driver vulnerable, el atacante obtiene capacidades que normalmente estarían restringidas incluso para usuarios con privilegios administrativos.

4. Neutralización de controles de seguridad

Una vez en el kernel, pueden:

• Finalizar procesos de seguridad.

• Eliminar callbacks del kernel.

• Deshabilitar mecanismos de auditoría.

• Interferir con la telemetría del sistema.

Algunas investigaciones han demostrado escenarios donde se terminan cientos de procesos asociados a productos EDR y seguridad empresarial.

5. Ejecución de la carga útil

Con los controles deshabilitados, el atacante puede desplegar ransomware, herramientas de movimiento lateral o mecanismos de exfiltración con menor riesgo de detección.

¿Por qué es tan peligroso?

La principal amenaza de BYOVD radica en que ataca directamente la capa donde operan muchas soluciones de seguridad.

Cuando un atacante obtiene acceso al kernel puede manipular procesos críticos del sistema operativo y alterar la visibilidad de las herramientas defensivas.

Esto significa que una organización podría creer que sus sistemas de protección están funcionando correctamente mientras, en realidad, los mecanismos de monitoreo ya han sido comprometidos.

Indicadores de compromiso (IOCs) a vigilar

Los equipos de seguridad deberían monitorear eventos relacionados con:

• Carga de drivers inusuales o no autorizados.

• Instalación repentina de controladores vulnerables conocidos.

• Terminación masiva de procesos de seguridad.

• Alteraciones en servicios de monitoreo.

• Actividad anómala relacionada con el kernel.

• Cambios inesperados en mecanismos de auditoría del sistema.

Asimismo, es recomendable mantener listas actualizadas de drivers bloqueados y correlacionar eventos de carga de controladores con actividades sospechosas posteriores.

Mapeo MITRE ATT&CK

Los ataques BYOVD suelen relacionarse con varias técnicas del framework MITRE ATT&CK, entre ellas:

• Privilege Escalation

• Defense Evasion

• Impair Defenses

• Rootkit

• System Driver Manipulation

Este tipo de comportamiento suele formar parte de etapas avanzadas de intrusión y preparación para ransomware.

Cómo reducir el riesgo

Para minimizar la exposición a ataques BYOVD, las organizaciones deberían:

Mantener listas de bloqueo actualizadas

Microsoft y otros fabricantes publican regularmente listas de drivers vulnerables conocidos que deben bloquearse.

Habilitar protecciones basadas en virtualización

Tecnologías como HVCI (Hypervisor-Protected Code Integrity) ayudan a dificultar la carga de drivers maliciosos o vulnerables.

Monitorear eventos de carga de controladores

La visibilidad sobre los drivers instalados y ejecutados es fundamental para detectar comportamientos anómalos.

Aplicar gestión continua de vulnerabilidades

Muchos ataques BYOVD aprovechan controladores vulnerables que llevan años siendo conocidos.

Implementar monitoreo avanzado

Las organizaciones necesitan capacidades que vayan más allá de las alertas tradicionales y permitan identificar comportamientos anómalos en tiempo real.

La importancia de la detección temprana

Los ataques modernos ya no buscan únicamente comprometer sistemas; buscan desactivar las herramientas encargadas de detectarlos.

Por eso, confiar exclusivamente en soluciones de prevención ya no es suficiente. La capacidad de correlacionar eventos, analizar comportamientos y detectar anomalías en tiempo real se ha convertido en un requisito esencial para cualquier estrategia de ciberseguridad.

En NESS ayudamos a las organizaciones a fortalecer su postura de seguridad mediante monitoreo continuo, análisis inteligente de eventos y capacidades avanzadas de detección que permiten identificar amenazas complejas antes de que impacten la operación del negocio.

Cuando los atacantes intentan silenciar los controles de seguridad, la visibilidad se convierte en la primera línea de defensa.