首页 > 时尚快讯 > 正文
黑客利用Windows驱动程序漏洞关闭反病毒软件
2020-02-08 16:05:03
来源:文章来源于网络

安全公司索福斯警告称,新的勒索软件攻击利用易受攻击的千兆字节驱动程序试图侵入Windows系统,然后禁用运行中的安全软件。这种攻击基于2018年在千兆字节驱动程序中发现的一个安全漏洞,详细描述在CVE-2018-19320中。

在千兆字节确认错误后丢弃的驱动程序允许恶意攻击者利用此漏洞试图访问设备并部署第二个驱动程序来杀死系统中的防病毒产品。索福斯说,第二个驱动程序将不遗余力地销毁属于端点安全产品的进程和文件,绕过篡改保护,并使敲诈软件能够在不受干扰的情况下进行攻击。这是安全研究人员第一次观察到勒索软件运送微软共同签署的第三方驱动程序,在内存中修补windows内核,以加载自己的未签名恶意驱动程序,并从内核空间删除安全应用程序。

这一次黑客使用的敲诈软件叫做Robbin竟,它要求受害者付钱才能解锁他的文件。赎金记录显示,如果他们不支付赎金,价格将每天上涨10,000美元。使用gigabytegdrv的执行文件。叫钢铁司机。exe,它提取一个名为robnr的文件。文件文件中的文件,该文件又抽象出两个不同的驱动程序,一个由gigabyte(易受攻击)开发,另一个用于禁用损坏设备上的防病毒软件。一旦该漏洞被利用,Windows驱动程序签名强制执行将被禁用,从而允许启动恶意驱动程序。

索福斯说,没有什么能帮助用户防止黑客利用这一漏洞,除了通常在敲诈软件攻击时保持安全的做法。