勒索軟體利用 Windows 驅動程式漏洞關閉防病毒軟體

安华金和發表於2020-02-09

安全公司 Sophos 警告說,新的勒索軟體攻擊使用了易受攻擊的技嘉驅動程式,試圖闖入 Windows 系統,然後禁用正在執行的安全軟體。該攻擊基於 2018 年在技嘉驅動程式中發現的安全漏洞,該安全漏洞在 CVE-2018-19320 中有詳細說明。

該驅動程式在技嘉確認該錯誤後已被廢棄,它允許惡意攻擊者利用此漏洞來嘗試訪問裝置並部署第二個驅動程式,目的是殺死系統當中的防毒產品。Sophos 表示,第二個驅動程式會不遺餘力地殺死屬於端點安全產品的程式和檔案,繞過篡改保護,使勒索軟體能夠在不受干擾的情況下進行攻擊。這是安全研究人員第一次觀察到勒索軟體運送一個微軟聯合簽名的第三方驅動程式來修補記憶體中的 Windows 核心,以載入自己未簽名的惡意驅動程式,並從核心空間中刪除安全應用程式

這次黑客使用的勒索軟體稱為 RobbinHood,它要求受害者付款以解鎖其檔案。贖金記錄上寫著,如果他們不付款,價格每天就會增加 1 萬美元。利用技嘉 gdrv.sys 驅動程式的可執行檔案稱為 Steel.exe,它提取 Windows temp 資料夾中名為 ROBNR.exe 的檔案,該檔案依次提取兩個不同的驅動程式,一個由 Gigabyte 開發(易受攻擊),另一個用於禁用受損裝置上的防病毒軟體。一旦該漏洞被利用,Windows 驅動程式簽名強制將被禁用,從而允許啟動惡意驅動程式。

Sophos表示,除了在勒索軟體攻擊中保持安全的常用做法外,沒有什麼可以幫助使用者阻止該漏洞被黑客利用。

來源:cnBeta.COM

更多資訊

Windows 7 bug 阻止使用者關機或重啟

Windows 7 使用者報告一個未知原因的 bug 會導致在嘗試關機或重啟時彈出警告資訊“你沒有許可權關閉這臺計算機”。Windows 7 已在今年 1 月結束支援,意味著微軟不再可能會像 Windows  7 系統釋出補丁。

來源:solidot.org
詳情連結: https://www.dbsec.cn/blog/news.html 

入侵 NFL 帳戶的黑客劫持了 FB 的 Twitter 和 Instagram 帳戶

據外媒 The Verge 報導,當地時間週五晚上,數個 Facebook 的 Twitter 和 Instagram 帳戶中被劫持,而入侵這些賬戶的黑客上週曾入侵 NFL 和 ESPN 的社交媒體帳戶。一個自稱為 OurMine 的組織在 Facebook 的 Twitter 帳戶以及其單獨的Messenger帳戶上發表了多個帖子。The Verge 觀察到該組織多次釋出同一條推文,然後迅速將其刪除。

來源:cnBeta.COM
詳情連結: https://www.dbsec.cn/blog/news.html 

美國空軍利用區塊鏈技術幫助保護武器資料安全

美國空軍與區塊鏈資料管理公司 Fluree 簽署了一份合同,以便在軍方內部更安全地跟蹤和共享資訊。美國空軍目前正與一家區塊鏈資料管理公司合作,與軍方其他部門安全、快速地共享資訊。

來源:cnBeta.COM
詳情連結: https://www.dbsec.cn/blog/news.html 

美國國土安全部承認使用資料庫追蹤數百萬手機使用者

美國國土安全部已經承認其使用了追蹤數百萬智慧手機使用者的資料庫,無視此前作出的一項法庭裁決。據報導,這些資料已經被用於邊境和移民執法,有一些證據表明,國土安全部並不想承認有權訪問它的…。

來源:新浪科技
詳情連結: https://www.dbsec.cn/blog/news.html 

(資訊來源於網路,安華金和蒐集整理)

勒索軟體利用 Windows 驅動程式漏洞關閉防病毒軟體

訂閱“Linux 中國”官方小程式來檢視

相關文章