注意！黑客現(xiàn)可利用Windows驅(qū)動(dòng)程序漏洞關(guān)閉殺毒軟件

2月8日消息 據(jù)外媒報(bào)道，安全公司Sophos近日警告稱，新型勒索軟件目前已可以通過(guò)攻擊技嘉驅(qū)動(dòng)程序來(lái)入侵Windows系統(tǒng)并通過(guò)部署第二個(gè)驅(qū)動(dòng)程序來(lái)禁用正在運(yùn)行的殺毒軟件。

該勒索軟件利用的是2018年在技嘉驅(qū)動(dòng)程序中發(fā)現(xiàn)的安全漏洞，技嘉(Gigabyte)已確認(rèn)該BUG的存在，后者允許惡意攻擊者利用此漏洞來(lái)嘗試訪問(wèn)設(shè)備并部署，目的是阻斷殺毒軟件等常規(guī)安全軟件對(duì)PC的保護(hù)。該安全漏洞在CVE-2018-19320中有詳細(xì)說(shuō)明。

Sophos表示：“第二個(gè)驅(qū)動(dòng)程序會(huì)阻斷安全軟件的進(jìn)程和文件，繞過(guò)篡改保護(hù)，使勒索軟件能夠不受干擾地對(duì)用戶電腦進(jìn)行攻擊”，“這是我們第一次觀察到有勒索軟件通過(guò)利用擁有微軟聯(lián)合簽名的第三方驅(qū)動(dòng)程序來(lái)修改內(nèi)核文件進(jìn)而達(dá)到加載自己未簽名的惡意驅(qū)動(dòng)程序，并從內(nèi)核中刪除安全應(yīng)用程序的目的。”

惡意驅(qū)動(dòng)程序

黑客使用的勒索軟件為RobbinHood，受害者必須通過(guò)付款的方式以解鎖文件。贖金記錄顯示，如果受害者不付款的話，贖金額度就會(huì)以10,000美元/天的速度上升。

被利用的技嘉gdrv.sys驅(qū)動(dòng)程序的可執(zhí)行文件被稱為Steel.exe，它在Windows臨時(shí)文件夾中提取一個(gè)名為ROBNR.EXE的文件，該文件提取了兩個(gè)不同的驅(qū)動(dòng)程序，一個(gè)是技嘉開(kāi)發(fā)的(易受攻擊的驅(qū)動(dòng)程序)，和另一個(gè)用于在受感染設(shè)備上禁用防病毒軟件的軟件。受害者電腦一旦被利用，Windows驅(qū)動(dòng)程序簽名將被強(qiáng)制禁用進(jìn)而允許惡意驅(qū)動(dòng)程序啟動(dòng)。

Sophos表示，除了繼續(xù)使用安全軟件阻止攻擊外目前尚無(wú)能夠幫助用戶阻止自己的PC被利用的辦法，因?yàn)榧词故前惭b了完整補(bǔ)丁程序的計(jì)算機(jī)也有可能受到威脅。