文章总结： 网络安全研究人员发现新型BYOVD攻击技术，利用带微软签名的0Day内核驱动可完全禁用CrowdStrikeEDR等终端防护系统。该驱动通过IOCTL接口调用内核函数强制终止安全进程，因具备合法签名可绕过检测。研究团队已发布PoisonKiller漏洞利用代码，建议厂商加强驱动签名审核机制。 综合评分： 85 文章分类： 漏洞分析,恶意软件,终端安全,威胁情报,应急响应

0Day漏洞可禁用CrowdStrike EDR，签名驱动成攻击利器

FreeBuf

2026年4月15日 12:53 上海

在小说阅读器读本章

去阅读

#

网络安全研究人员发现了一种新型的 BYOVD（自带漏洞驱动）攻击技术，能够关闭包括 CrowdStrike Falcon 在内的一流终端安全解决方案。通过逆向分析一个此前未知的 0Day 内核驱动，研究人员揭示了威胁攻击者如何利用合法签名的驱动程序完全绕过终端检测与响应（EDR）系统。

#

Part01

BYOVD攻击原理

在 BYOVD 攻击中，黑客会在受感染的机器上部署一个受信任但存在缺陷的驱动程序，以利用其提升的内核级权限。调查发现该恶意驱动存在超过 15 个不同变种。尽管具备破坏性能力，所有变种都携带有效的微软数字签名，且未被供应商拦截或吊销。令人担忧的是，VirusTotal 等平台的扫描结果显示，现代杀毒引擎对其检测率为零。

由于该驱动经过签名且受高度信任，Windows 系统允许其加载至内核模式而不会触发任何安全警报，从而为攻击者提供了隐蔽的立足点。

Part02

逆向分析 IOCTL 接口

研究人员使用 IDA Pro 进行技术分析时，绕过了一个经过混淆的入口点来检查驱动程序的核心设备控制处理程序。

在清理严重混乱的反编译代码后，研究人员发现了一个危险的输入/输出控制（IOCTL）接口。具体而言，IOCTL 代码 0x22E010 会触发专用的进程终止例程。该驱动接受字符串形式的进程 ID，使用标准 C 函数将其转换为整数，然后执行终止命令。真正的危险在于该驱动如何从内核级别终止安全进程——它使用 ZwOpenProcess 和 ZwTerminateProcess 内核函数强制终止活动应用程序。

Part03

内核攻击优势

在标准用户模式下，尝试关闭受保护的进程（如 CrowdStrike 的 PPL 服务）会立即遭到访问拒绝。但内核级命令能完全绕过这些用户模式保护机制，使得驱动程序可以在攻击者部署勒索软件或其他次级有效载荷之前，静默终止关键安全代理。

为验证该漏洞，core-jmp 研究人员在测试环境中动态追踪驱动程序，定位到其符号链接 \.{F8284233–48F4–4680-ADDD-F8284233}。

Part04

漏洞验证与利用

利用该链接及发现的 IOCTL 代码，研究人员开发了名为 PoisonKiller 的概念验证漏洞利用程序。当通过标准命令行服务工具加载时，该漏洞利用程序成功定位并终止了活动的 CrowdStrike EDR 进程。完整的技术分析和漏洞利用代码已发布在 GitHub 上，凸显了现代操作系统在处理已签名的第三方驱动程序时存在的重大盲区。

参考来源：

Researcher Reverse Engineered 0-Day Used to Disable CrowdStrike EDR

https://cybersecuritynews.com/0-day-disable-crowdstrike-edr/

推荐阅读

电报讨论

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《0Day漏洞可禁用CrowdStrike EDR，签名驱动成攻击利器》