AV\EDR BYOVD-киллер для AV/EDR

[DOC]

Jingle Bells tovarishi!​

Залью тулзу на Rust для автоматического сноса av/edr процессов через эксплуатацию уязвимого драйвера.

АРХИТЕКТУРА И ПРИНЦИП РАБОТЫ​

Тулза эксплуатирует CVE-2025-52915 в драйвере K7RKScan_1516.sys от K7 Computing. Драйвер подписан валидным сертификатом Microsoft, поэтому Driver Signature Enforcement его пропускает без вопросов. Через него можно убивать любые процессы на уровне ядра, включая PPL-защищенные (Protected Process Light), байпасся все хуки юзермода.

Цепочка атаки:​

1. Usermode (наша тулза) → Service Control Manager API
2. Регистрация драйвера как SERVICE_KERNEL_DRIVER с правами SYSTEM
3. StartServiceA() → драйвер загружается в kernel space (Ring 0)
4. CreateFileA("\\\\.\\DosK7RKScnDrv") → получаем хендл на device object драйвера
5. DeviceIoControl() с IOCTL 0x222018 → передача PID целевого процесса
6. Драйвер вызывает PsLookupProcessById() + ZwTerminateProcess() напрямую из кернела

ТЕХНИЧЕСКИЕ ДЕТАЛИ ЭКСПЛУАТАЦИИ

IOCTL интерфейс:​

• Control Code: 0x222018 (кастомный IOCTL драйвера K7 для терминации процессов)
• Input Buffer: DWORD с PID процесса
• Output Buffer: отсутствует (драйвер ничего не возвращает)
• Method: METHOD_BUFFERED (безопасная передача данных в kernel)

Device Object драйвера:​

При загрузке K7RKScan_1516.sys создает:

• Kernel device: \Device\NTK7RKScnDrv
• Symbolic link: \DosDevices\DosK7RKScnDrv → доступен из usermode как \\.\DosK7RKScnDrv

Обход защиты процессов:​

Драйвер выполняет терминацию через kernel-mode вызовы:

// Внутри драйвера K7RKScan.sys
PEPROCESS TargetProcess;
PsLookupProcessById(PID, &TargetProcess); // Получаем EPROCESS структуру
ZwTerminateProcess(TargetProcess, 0); // Убиваем процесс из Ring 0

Обход EDR/AV хуков:​

EDR'ки обычно ставят хуки на:

• NtTerminateProcess в ntdll.dll (usermode)
• Kernel callbacks типа PsSetCreateProcessNotifyRoutineEx

Но драйвер обращается к функциям напрямую через SSDT (System Service Descriptor Table), минуя все usermode хуки. Kernel callbacks срабатывают, но уже после факта - процесс уже мертв.

Защита PPL (Protected Process Light):​

Windows Defender (MsMpEng.exe), SentinelOne, CrowdStrike и другие EDR работают как PPL-процессы. Из usermode их невозможно убить через OpenProcess() - получишь ERROR_ACCESS_DENIED.
Но драйвер работает в Ring 0 с привилегиями SYSTEM, поэтому ему похуй на PPL - он напрямую модифицирует структуры ядра. (Если я здесь ошибаюсь, пожалуйста исправьте меня).

Код написан на Rust, значит быстро и без багов с памятью. HashSet для O(1) лукапа процессов, одиночный снапшот системы за итерацию - эффективно и шустро

ВАЖНО

• (DLYA NUBOV) Нужны админ-права для загрузки драйвера (иначе CreateServiceA вернет ERROR_ACCESS_DENIED)
• Только Windows (очевидно)
• Только для пентеста и рисёрча, сами понимаете

В настоящее время у меня нет активных ботов для тестирования на других стендах AV/EDR, поэтому я тестировал только на последней версии Windows — 25H2 (26200.7462)

 

[Ge0rGan]

Могу потестить на корпоративном CrowdStrike, Cisco AMP, Microsoft E5 Defender ну и возможно на SentinelOne. Как будет результат отпишу! Спасибо за софт!

 

[Alzheimer]

Могу потестить на корпоративном CrowdStrike, Cisco AMP, Microsoft E5 Defender ну и возможно на SentinelOne. Как будет результат отпишу! Спасибо за софт!

Скорее всего, будет просто скантайм детект...

 

[DOC]

Скорее всего, будет просто скантайм детект...

Kleenscan.com

Analyze files to detect malware. Analyze URLs, domains, and IPs to detect malware and blacklist status.

kleenscan.com

 

[Alzheimer]

Kleenscan.com

Analyze files to detect malware. Analyze URLs, domains, and IPs to detect malware and blacklist status.

kleenscan.com

Кинь ссылку на скомпилированный бинарь, пожалуйста.

 

[DOC]

Это и есть! Посмотри внимательно

 

[pafke]

DOC really nice share, respect.

 

[proexp]

Jingle Bells tovarishi!​

Залью тулзу на Rust для автоматического сноса av/edr процессов через эксплуатацию уязвимого драйвера.

АРХИТЕКТУРА И ПРИНЦИП РАБОТЫ​

Тулза эксплуатирует CVE-2025-52915 в драйвере K7RKScan_1516.sys от K7 Computing. Драйвер подписан валидным сертификатом Microsoft, поэтому Driver Signature Enforcement его пропускает без вопросов. Через него можно убивать любые процессы на уровне ядра, включая PPL-защищенные (Protected Process Light), байпасся все хуки юзермода.

Цепочка атаки:​

1. Usermode (наша тулза) → Service Control Manager API
2. Регистрация драйвера как SERVICE_KERNEL_DRIVER с правами SYSTEM
3. StartServiceA() → драйвер загружается в kernel space (Ring 0)
4. CreateFileA("\\\\.\\DosK7RKScnDrv") → получаем хендл на device object драйвера
5. DeviceIoControl() с IOCTL 0x222018 → передача PID целевого процесса
6. Драйвер вызывает PsLookupProcessById() + ZwTerminateProcess() напрямую из кернела

ТЕХНИЧЕСКИЕ ДЕТАЛИ ЭКСПЛУАТАЦИИ

IOCTL интерфейс:​

• Control Code: 0x222018 (кастомный IOCTL драйвера K7 для терминации процессов)
• Input Buffer: DWORD с PID процесса
• Output Buffer: отсутствует (драйвер ничего не возвращает)
• Method: METHOD_BUFFERED (безопасная передача данных в kernel)

Device Object драйвера:​

При загрузке K7RKScan_1516.sys создает:

• Kernel device: \Device\NTK7RKScnDrv
• Symbolic link: \DosDevices\DosK7RKScnDrv → доступен из usermode как \\.\DosK7RKScnDrv

Обход защиты процессов:​

Драйвер выполняет терминацию через kernel-mode вызовы:

// Внутри драйвера K7RKScan.sys
PEPROCESS TargetProcess;
PsLookupProcessById(PID, &TargetProcess); // Получаем EPROCESS структуру
ZwTerminateProcess(TargetProcess, 0); // Убиваем процесс из Ring 0

Обход EDR/AV хуков:​

EDR'ки обычно ставят хуки на:

• NtTerminateProcess в ntdll.dll (usermode)
• Kernel callbacks типа PsSetCreateProcessNotifyRoutineEx

Но драйвер обращается к функциям напрямую через SSDT (System Service Descriptor Table), минуя все usermode хуки. Kernel callbacks срабатывают, но уже после факта - процесс уже мертв.

Защита PPL (Protected Process Light):​

Windows Defender (MsMpEng.exe), SentinelOne, CrowdStrike и другие EDR работают как PPL-процессы. Из usermode их невозможно убить через OpenProcess() - получишь ERROR_ACCESS_DENIED.
Но драйвер работает в Ring 0 с привилегиями SYSTEM, поэтому ему похуй на PPL - он напрямую модифицирует структуры ядра. (Если я здесь ошибаюсь, пожалуйста исправьте меня).

Код написан на Rust, значит быстро и без багов с памятью. HashSet для O(1) лукапа процессов, одиночный снапшот системы за итерацию - эффективно и шустро

ВАЖНО

• (DLYA NUBOV) Нужны админ-права для загрузки драйвера (иначе CreateServiceA вернет ERROR_ACCESS_DENIED)
• Только Windows (очевидно)
• Только для пентеста и рисёрча, сами понимаете

В настоящее время у меня нет активных ботов для тестирования на других стендах AV/EDR, поэтому я тестировал только на последней версии Windows — 25H2 (26200.7462)

Посмотреть вложение 111793

что там у тебя за криптер стаб?)

 

[Stupor]

Опять велосипед изобретаете, причем детский, который к EDR Kill никакого отношения не имеет.

Все эти ZwTerminateProcess и PsTerminateProcess лишь убивают процессы (кстати нужно проверять из на ProcessBreakOnTermination
перед тем как прибить (NtQueryInformationProcess) и можно из r3 убрать флаг).

В реальности драйвер должен еще и уметь читать/писать ядерную память.
Все что нужно для реальной дезактивации защиты, это:

Поставить заглушки
ObRegisterCallbacks
CmRegisterCallback
PsSetCreateThreadNotifyRoutine
PsSetCreateProcessNotifyRoutine
PsSetLoadImageNotifyRoutine

Снять хуки с
ObUnRegisterCallbacks
CmUnRegisterCallback
использовать их, пройтись по двусвязным спискам CallbackList
и почистить их.

Убрать мини-фильтры через перечисление
FltEnumerateFilters

С другой стороны: если взять для примера Falcon CrowdStrike
то даже тупому и ленивому админу достаточно сделать 3 вещи:
1. Включить список заблокированных драйверов
2. Включить Виртуализацию/Целостность памяти ядра
3. Самое простое и главное -В админ-панели Falcon CS включить запрет на загрузку драйверов
и идти спокойно пить пиво.

 

[DOC]

Товарищ Stupor !
Я же не написал что Америку открыл, на этом посте всё ясненько и понятно, даже слепой может читать, это обзор CVE-2025-52915 вот и всё, если читатель как я только начнет интересоваться с драйверами то это верный роадмап товарищ, читает этот пост - смотрит сурси - ищет что-то из гугла или жпт - найдет r/w драйвер - обходит ппл итд. В этом посте я написал что-как работает, пусть чел берет и сделает под себя, вы смотрите на торговом площадки за сколько люди продают именно вот такие решения - много!

 

[DOC]

что там у тебя за криптер стаб?)

Да там просто папка такой название. Хотел написать криптер для с2 агента ого ещё 2 месяцев назад и бросил. Сделал дроппера намного эффективнее чем криптер.

 

[Stupor]

вы смотрите на торговом площадки за сколько люди продают именно вот такие решения - много!

Вообще то "такие решения", - это не "решения", а развод чистой воды.

 

[DOC]

Вообще то "такие решения", - это не "решения", а развод чистой воды.

Товарищ! Я не хочу с вами что-то дебатировать, я не ультра мега соник малдев как вы, нынешняя рынок все убивают едр через драйвер. ИМЕННО ВОТ С ТАКИМИ ДРАЙВЕРАМИ И ИМЕННО ВОТ С ТАКИМИ РЕШЕНИЯМИ!

 

[wav]

GitHub - BlackSnufkin/BYOVD: BYOVD research use cases featuring vulnerable driver discovery and reverse engineering methodology. (CVE-2025-52915, CVE-2025-1055,).

BYOVD research use cases featuring vulnerable driver discovery and reverse engineering methodology. (CVE-2025-52915, CVE-2025-1055,). - BlackSnufkin/BYOVD

github.com

вот на СИ есть чёт нифига он не убивает

GitHub - diego-tella/CVE-2025-1055-poc: PoC for CVE-2025-1055 and CVE-2025-52915 using K7RKScan.sys

PoC for CVE-2025-1055 and CVE-2025-52915 using K7RKScan.sys - diego-tella/CVE-2025-1055-poc

github.com

 

[DOC]

ТЕСТ СЕНТИНЕЛ )))
1

2

3

 

[TheExample]

Jingle Bells tovarishi!​

Залью тулзу на Rust для автоматического сноса av/edr процессов через эксплуатацию уязвимого драйвера.

АРХИТЕКТУРА И ПРИНЦИП РАБОТЫ​

Тулза эксплуатирует CVE-2025-52915 в драйвере K7RKScan_1516.sys от K7 Computing. Драйвер подписан валидным сертификатом Microsoft, поэтому Driver Signature Enforcement его пропускает без вопросов. Через него можно убивать любые процессы на уровне ядра, включая PPL-защищенные (Protected Process Light), байпасся все хуки юзермода.

Цепочка атаки:​

1. Usermode (наша тулза) → Service Control Manager API
2. Регистрация драйвера как SERVICE_KERNEL_DRIVER с правами SYSTEM
3. StartServiceA() → драйвер загружается в kernel space (Ring 0)
4. CreateFileA("\\\\.\\DosK7RKScnDrv") → получаем хендл на device object драйвера
5. DeviceIoControl() с IOCTL 0x222018 → передача PID целевого процесса
6. Драйвер вызывает PsLookupProcessById() + ZwTerminateProcess() напрямую из кернела

ТЕХНИЧЕСКИЕ ДЕТАЛИ ЭКСПЛУАТАЦИИ

IOCTL интерфейс:​

• Control Code: 0x222018 (кастомный IOCTL драйвера K7 для терминации процессов)
• Input Buffer: DWORD с PID процесса
• Output Buffer: отсутствует (драйвер ничего не возвращает)
• Method: METHOD_BUFFERED (безопасная передача данных в kernel)

Device Object драйвера:​

При загрузке K7RKScan_1516.sys создает:

• Kernel device: \Device\NTK7RKScnDrv
• Symbolic link: \DosDevices\DosK7RKScnDrv → доступен из usermode как \\.\DosK7RKScnDrv

Обход защиты процессов:​

Драйвер выполняет терминацию через kernel-mode вызовы:

// Внутри драйвера K7RKScan.sys
PEPROCESS TargetProcess;
PsLookupProcessById(PID, &TargetProcess); // Получаем EPROCESS структуру
ZwTerminateProcess(TargetProcess, 0); // Убиваем процесс из Ring 0

Обход EDR/AV хуков:​

EDR'ки обычно ставят хуки на:

• NtTerminateProcess в ntdll.dll (usermode)
• Kernel callbacks типа PsSetCreateProcessNotifyRoutineEx

Но драйвер обращается к функциям напрямую через SSDT (System Service Descriptor Table), минуя все usermode хуки. Kernel callbacks срабатывают, но уже после факта - процесс уже мертв.

Защита PPL (Protected Process Light):​

Windows Defender (MsMpEng.exe), SentinelOne, CrowdStrike и другие EDR работают как PPL-процессы. Из usermode их невозможно убить через OpenProcess() - получишь ERROR_ACCESS_DENIED.
Но драйвер работает в Ring 0 с привилегиями SYSTEM, поэтому ему похуй на PPL - он напрямую модифицирует структуры ядра. (Если я здесь ошибаюсь, пожалуйста исправьте меня).

Код написан на Rust, значит быстро и без багов с памятью. HashSet для O(1) лукапа процессов, одиночный снапшот системы за итерацию - эффективно и шустро

ВАЖНО

• (DLYA NUBOV) Нужны админ-права для загрузки драйвера (иначе CreateServiceA вернет ERROR_ACCESS_DENIED)
• Только Windows (очевидно)
• Только для пентеста и рисёрча, сами понимаете

В настоящее время у меня нет активных ботов для тестирования на других стендах AV/EDR, поэтому я тестировал только на последней версии Windows — 25H2 (26200.7462)

Посмотреть вложение 111793

This driver (K7RKScan_1516.sys) was detected and blocked by SentinelOne. It cannot be used for BYOVD (Bring Your Own Vulnerable Driver) attacks on systems protected by SentinelOne, as the EDR immediately flags it as malicious before it can be loaded.

Are there any alternative vulnerable drivers that can still be used for similar kernel-level exploits which are not currently detected by major EDR solutions like SentinelOne, CrowdStrike, or Microsoft Defender? If you know of any less-detected or new BYOVD drivers, please share or recommend them.

 

[DOC]

This driver (K7RKScan_1516.sys) was detected and blocked by SentinelOne. It cannot be used for BYOVD (Bring Your Own Vulnerable Driver) attacks on systems protected by SentinelOne, as the EDR immediately flags it as malicious before it can be loaded.

oo shit really? i have this version by the way which is old, i think may be that was a case for this.

 

[Бафомет]

oo shit really? i have this version by the way which is old, i think may be that was a case for this.

The issue is that the license has been revoked. The driver is being detected even by older versions of Sentinel.

 

[wav]

из за таких идиотов софт и мрёт потом ))))))))))

 

[DOC]

The issue is that the license has been revoked. The driver is being detected even by older versions of Sentinel.

Thanks for information.
I deeply apologize from forum members that i fucked up the hole edr kill process with or without meaningless information. Sorry forum!