2月8日消息 据外媒报道,安全公司Sophos近日警告称,新型勒索软件目前已可以通过攻击技嘉驱动程序来入侵Windows系统并通过部署第二个驱动程序来禁用正在运行的杀毒软件。
该勒索软件利用的是2018年在技嘉驱动程序中发现的安全漏洞,技嘉(Gigabyte)已确认该BUG的存在,后者允许恶意攻击者利用此漏洞来尝试访问设备并部署,目的是阻断杀毒软件等常规安全软件对PC的保护。该安全漏洞在CVE-2018-19320中有详细说明。
Sophos表示:“第二个驱动程序会阻断安全软件的进程和文件,绕过篡改保护,使勒索软件能够不受干扰地对用户电脑进行攻击”,“这是我们第一次观察到有勒索软件通过利用拥有微软联合签名的第三方驱动程序来修改内核文件进而达到加载自己未签名的恶意驱动程序,并从内核中删除安全应用程序的目的。”
恶意驱动程序
黑客使用的勒索软件为RobbinHood,受害者必须通过付款的方式以解锁文件。赎金记录显示,如果受害者不付款的话,赎金额度就会以10,000美元/天的速度上升。
被利用的技嘉gdrv.sys驱动程序的可执行文件被称为Steel.exe,它在Windows临时文件夹中提取一个名为ROBNR.EXE的文件,该文件提取了两个不同的驱动程序,一个是技嘉开发的(易受攻击的驱动程序),和另一个用于在受感染设备上禁用防病毒软件的软件。受害者电脑一旦被利用,Windows驱动程序签名将被强制禁用进而允许恶意驱动程序启动。
Sophos表示,除了继续使用安全软件阻止攻击外目前尚无能够帮助用户阻止自己的PC被利用的办法,因为即使是安装了完整补丁程序的计算机也有可能受到威胁。
特别提醒:本网内容转载自其他媒体,目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。