Osiris勒索軟體：利用POORTRY驅動程式的BYOVD攻擊技術分析

Osiris勒索軟體是一種新興的勒索軟體，近期在東南亞地區發動了針對主要食品服務特別經營者的攻擊。該勒索軟體利用名為POORTRY的惡意驅動程式，採用Bring Your Own Vulnerable Driver（BYOVD）技術來解除安全軟體的防護，進而進行勒索攻擊。這篇文章將深入分析Osiris勒索軟體的攻擊手法、技術細節以及企業應對策略。

引言

Osiris勒索軟體是一種全新的勒索軟體家族，與2016年出現的同名Locky變種無任何關聯。該勒索軟體在2025年11月對一家主要食品服務特別經營者發動了攻擊，並成功利用POORTRY驅動程式來解除安全軟體的防護( iThome, 2025)。該攻擊手法展示了攻擊者高度的專業技能和對系統漏洞的深入了解。

主要發現

Osiris勒索軟體的攻擊過程主要分為以下幾個步驟：

• 利用POORTRY驅動程式進行BYOVD攻擊，解除安全軟體的防護。
• 使用遠端管理工具進行初步侵入，並部署勒索軟體。
• 進一步利用Lateral Movement技術，在網絡內擴散。
• 最終加密受害者的重要數據，并要求支付贖金。

POORTRY驅動程式與BYOVD技術

BYOVD（Bring Your Own Vulnerable Driver）技術是指攻擊者利用已知漏洞的驅動程式來躲避安全軟體的檢測和防護。POORTRY驅動程式正是這種技術的典型代表。該驅動程式在內核模式下運行，具有最高的權限，可以直接操作系統內核，從而關閉或綁定安全軟體的進程。

具體步驟如下：

1. 編寫內核驅動程式，該程式具備關閉進程的功能。
2. 加載內核驅動到系統中。
3. 利用驅動程式終止安全軟體的進程。

以下是一個簡單的內核驅動程式範例：

#include <linux/init.h>
#include <linux/module.h>
#include <linux/kernel.h>
#include <linux/sched.h>
#include <linux/slab.h>
#include <linux/uaccess.h>

static int __init my_driver_init(void) {
    struct task_struct *task;
    pid_t pid = 1234; // 安全軟體進程的PID

    task = pid_task(find_vpid(pid), PIDTYPE_PID);
    if (task) {
        force_sig(SIGKILL, task);
        printk(KERN_INFO "Killed process with PID %dn", pid);
    } else {
        printk(KERN_INFO "Process with PID %d not foundn", pid);
    }

    return 0;
}

static void __exit my_driver_exit(void) {
    printk(KERN_INFO "Exiting my_drivern");
}
module_init(my_driver_init);
module_exit(my_driver_exit);

MODULE_LICENSE("GPL");
MODULE_DESCRIPTION("Simple example of a kernel module");
MODULE_AUTHOR("Your Name");

遠端管理工具

攻擊者在進一步侵入系統後，使用一些常見的遠端管理工具來進行操作。這些工具包括Rustdesk、Splashtop Remote和AnyDesk等。這些工具不僅提供了便捷的遠端操作能力，還能夠規避一些傳統的安全防護措施。

例如，Rustdesk是一款開源的遠程桌面軟體，具有跨平台的特點，能夠在Windows、Linux和macOS上運行。攻擊者可以通過修改Rustdesk的配置文件，達到隱藏自身活動的目的。

攻擊手法與技術細節

Osiris勒索軟體的攻擊手法展示了攻擊者對系統漏洞的深入了解和高超的技術能力。以下是一些關鍵技術細節：

• 利用POORTRY驅動程式進行BYOVD攻擊，解除安全軟體的防護。
• 使用遠端管理工具進行初步侵入，並部署勒索軟體。
• 進一步利用Lateral Movement技術，在網絡內擴散。
• 最終加密受害者的重要數據，并要求支付贖金。

這些技術細節展示了Osiris勒索軟體的複雜性和攻擊者的高度專業技能。

結論與建議

面對Osiris勒索軟體的威脅，企業應採取以下措施來提升防護能力：

• 定期更新和補丁內核驅動，防止已知漏洞被利用。
• 加強安全軟體的監控和管理，及時發現和應對異常活動。
• 限制遠端管理工具的使用，只允許在經過授權的主機上執行。
• 定期備份重要數據，確保在遭受攻擊時能夠迅速恢復。

此外，企業應加強員工的安全意識培訓，減少人為因素導致的安全漏洞。

參考資料與原文來源

• 🔗 原文來源: New Osiris Ransomware Emerges as New Strain Using…
• 🔗 原文來源: Osiris: New Ransomware, Experienced Attackers?
• 🔗 原文來源: Agenda 勒索軟體利用遠端管理工具和BYOVD 技術，在Windows 上 …
• 🔗 原文來源: BYOVD技术实战：利用内核驱动关闭杀软进程 – 奇安信攻防社区
• 🔗 原文來源: 2025年勒索软件流行态势报告

🧠本文由 DreamJ AI 技術新聞生成系統 自動撰寫並進行語意優化，僅供技術研究與教學使用。
請以原廠公告、CVE 官方資料與安全建議為最終依據。