勒索软件利用有漏洞的技嘉驱动程式关闭电脑防毒软件
遭官方弃用的硬件驱动程式,因含有未修补漏洞,被骇客用来入侵Windows电脑并关闭防
毒软件,以成功安装勒索软件,加密用户档案勒索金钱
文/林妍溱 | 2020-02-11发表
安全厂商发现勒索软件攻击手法再翻新,一个新种勒索软件家族,可在电脑安装合法的硬
体驱动程式再关闭电脑防毒软件,借此加密用户档案勒索金钱,从Windows 7到最新的
Windows 10用户都可能受害。
防毒软件业者Sophos发现到二只勒索软件采用一种离地攻击(living-off-the land)手
法,使用了技嘉电脑已淘汰不用的驱动程式GDrv中,一个编号CVE-2018-19320的漏洞。
CVE-2018-19320也曾经于2018年底被其他资安公司揭露,影响数款主机板或显卡。技嘉随
后已经弃用这个程式,但漏洞仍然存在。
雪上加霜的是,凭证发放机构Verisign并未取消签发给驱动程式GDrv的凭证,以致于该凭
证仍然有效。
骇客就利用这些余毒发动最新一波攻击。攻击者利用技嘉有漏洞的驱动程式进入用户
Windows电脑,暂时关闭Windows内建的驱动程式签章检查,以便下载第二个未签发的驱动
程式RBNL.SYS,后者再关闭电脑防毒软件的行程和档案,最后安装名为罗宾汉(
RobbinHood)的勒索软件,使其如入无人之境,加密用户档案进行勒索。
安全厂商说,该勒索软件在植入合法(但有漏洞的)驱动程式后,得以存取Windows核心
内存、关闭Windows内建的驱动程式签章检查、下载恶意驱动程式、从核心内存空间
终止受害电脑安全防护软件,如此高明的手法,是他们迄今首见。
Sophos研究人员发现,这种手法在Windows 7、8及10电脑上都能得逞。
研究人员建议,除了更新桌机安全软件、修补任何已知漏洞外,应使用双因素验证、限制
管理员权限的发派、做好密码管理,并定期做好资料备份。
除了勒索软件RobbinHood之外,安全专家也曾发现2018年的挖矿软件WinstarNssmMiner,
及去年的Nemty和Snatch也能关闭防毒软件,或是让电脑重开机进入安全模式,以回避防
毒侦测。
新闻连结:https://reurl.cc/6gra9M