据外媒报道,安全公司 Sophos 近日警告称,新型勒索软件目前已可以通过攻击技嘉驱动程序来入侵 Windows 系统并通过部署第二个驱动程序来禁用正在运行的杀毒软件。
该勒索软件利用的是 2018 年在技嘉驱动程序中发现的安全漏洞,技嘉(Gigabyte)已确认该 BUG 的存在,后者允许恶意攻击者利用此漏洞来尝试访问设备并部署,目的是阻断杀毒软件等常规安全软件对 PC 的保护。该安全漏洞在 CVE-2018-19320 中有详细说明。
Sophos 表示:“第二个驱动程序会阻断安全软件的进程和文件,绕过篡改保护,使勒索软件能够不受干扰地对用户电脑进行攻击”,“这是我们第一次观察到有勒索软件通过利用拥有微软联合签名的第三方驱动程序来修改内核文件进而达到加载自己未签名的恶意驱动程序,并从内核中删除安全应用程序的目的。”
恶意驱动程序
黑客使用的勒索软件为 RobbinHood,受害者必须通过付款的方式以解锁文件。赎金记录显示,如果受害者不付款的话,赎金额度就会以 10,000 美元/天的速度上升。
被利用的技嘉 gdrv.sys 驱动程序的可执行文件被称为 Steel.exe,它在 Windows 临时文件夹中提取一个名为 ROBNR.EXE 的文件,该文件提取了两个不同的驱动程序,一个是技嘉开发的(易受攻击的驱动程序),和另一个用于在受感染设备上禁用防病毒软件的软件。受害者电脑一旦被利用,Windows 驱动程序签名将被强制禁用进而允许恶意驱动程序启动。
Sophos 表示,除了继续使用安全软件阻止攻击外目前尚无能够帮助用户阻止自己的 PC 被利用的办法,因为即使是安装了完整补丁程序的计算机也有可能受到威胁。
微信扫一扫