首页保安勒索软件安装技嘉驱动程序以“杀死”防病毒软件

勒索软件安装技嘉驱动程序以“杀死”防病毒软件

勒索软件帮派在要感染的计算机上安装了易受攻击的GIGABYTE驱动程序。 这些驱动程序的目的是允许黑客禁用它们 安全产品,以便其勒索软件可执行文件可以加密文件而不会被检测到或停止。

据Sophos称,到目前为止,已经在两次勒索软件中检测到了这种新的原始技术。

在这两种情况下,勒索软件都是RobbinHood,这是一种“大型游戏”勒索软件,通常用于目标 攻击 针对选定的高价值目标。

在发布的报告中,Sophos对这种新技术的描述如下:

  • 黑客安装了合法的技嘉内核驱动程序GDRV.SYS程序。
  • 黑客利用此驱动程序中的漏洞来访问内核。
  • 攻击者使用内核访问权来暂时禁用Windows OS驱动程序签名强制实施程序。
  • 黑客安装了一个名为RBNL.SYS的恶意内核驱动程序。
  • 攻击者使用此驱动程序来禁用或停止在受感染主机上运行的防病毒程序和其他安全产品。
  • 黑客执行RobbinHood勒索软件并加密受害者的文件。

Sophos报告了这种旁路技术 杀毒软件 在Windows 7,Windows 8和Windows 10上运行。

勒索

该技术之所以成功,是因为如何处理驱动程序技嘉中的漏洞,留下了可供驱动程序利用的漏洞。 黑客.

挫败归咎于两个方面-首先是技嘉,然后是Verisign。

技嘉的故障在于它以不专业的方式处理受影响驱动程序的漏洞报告。 技嘉没有意识到问题并发布补丁,而是声称其产品不受影响。

该公司公开拒绝承认该漏洞,导致发现该错误的研究人员发布了该错误的公共详细信息以及用于再现该错误的概念验证代码。 漏洞。 该代码的发布为攻击者提供了利用技嘉驱动程序的路线图。

当公众对公司施加压力以修复驱动程序时,技嘉选择关闭而不是发布解决方案。 补丁.

但是,即使技嘉发布了补丁,攻击者也可以简单地使用驱动程序的较早版本。 在这种情况下,驱动程序的签名证书应该已被吊销,以便不能加载较旧的证书。 出版物 司机。

Sophos研究人员说:“使用其代码签名机制对驱动程序进行数字签名的Vererisign尚未撤销签名证书,因此Authenticode签名仍然有效。”他解释说,为什么今天仍然可以加载。已故且知名,易受攻击的驱动程序 Windows.

但是,如果我们听说过网络犯罪分子,他们中的大多数都在复制成功的技术,因此其他勒索软件帮派有望将这一技巧纳入其武器库,从而导致更多 攻击.

实时新闻