安全公司Sophos警告說,新的勒索軟件攻擊使用了易受攻擊的技嘉驅動程序,試圖闖入Windows系統,然後禁用正在運行的安全軟件。該攻擊基于2018年在技嘉驅動程序中發現的安全漏洞,該安全漏洞在CVE-2018-19320中有詳細說明。
該驅動程序在技嘉确認該錯誤後已被廢棄,它允許惡意攻擊者利用此漏洞來嘗試訪問設備并部署第二個驅動程序,目的是殺死系統當中的殺毒産品。Sophos表示,第二個驅動程序會不遺餘力地殺死屬于端點安全産品的進程和文件,繞過篡改保護,使勒索軟件能夠在不受幹擾的情況下進行攻擊。這是安全研究人員第一次觀察到勒索軟件運送一個微軟聯合簽名的第三方驅動程序來修補内存中的Windows内核,以加載自己未簽名的惡意驅動程序,并從内核空間中删除安全應用程序
這次黑客使用的勒索軟件稱為RobbinHood,它要求受害者付款以解鎖其文件。贖金記錄上寫着,如果他們不付款,價格每天就會增加1萬美元。利用技嘉gdrv.sys驅動程序的可執行文件稱為Steel.exe,它提取Windows temp文件夾中名為ROBNR.exe的文件,該文件依次提取兩個不同的驅動程序,一個由Gigabyte開發(易受攻擊),另一個用于禁用受損設備上的防病毒軟件。一旦該漏洞被利用,Windows驅動程序簽名強制将被禁用,從而允許啟動惡意驅動程序。
Sophos表示,除了在勒索軟件攻擊中保持安全的常用做法外,沒有什麼可以幫助用戶阻止該漏洞被黑客利用。
,
更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!