勒索軟體利用有漏洞的技嘉驅動程式關閉 - 3C
By Lauren
at 2020-02-11T21:05
at 2020-02-11T21:05
Table of Contents
勒索軟體利用有漏洞的技嘉驅動程式關閉電腦防毒軟體
遭官方棄用的硬體驅動程式,因含有未修補漏洞,被駭客用來入侵Windows電腦並關閉防
毒軟體,以成功安裝勒索軟體,加密用戶檔案勒索金錢
文/林妍溱 | 2020-02-11發表
安全廠商發現勒索軟體攻擊手法再翻新,一個新種勒索軟體家族,可在電腦安裝合法的硬
體驅動程式再關閉電腦防毒軟體,藉此加密用戶檔案勒索金錢,從Windows 7到最新的
Windows 10用戶都可能受害。
防毒軟體業者Sophos發現到二隻勒索軟體採用一種離地攻擊(living-off-the land)手
法,使用了技嘉電腦已淘汰不用的驅動程式GDrv中,一個編號CVE-2018-19320的漏洞。
CVE-2018-19320也曾經於2018年底被其他資安公司揭露,影響數款主機板或顯卡。技嘉隨
後已經棄用這個程式,但漏洞仍然存在。
雪上加霜的是,憑證發放機構Verisign並未取消簽發給驅動程式GDrv的憑證,以致於該憑
證仍然有效。
駭客就利用這些餘毒發動最新一波攻擊。攻擊者利用技嘉有漏洞的驅動程式進入用戶
Windows電腦,暫時關閉Windows內建的驅動程式簽章檢查,以便下載第二個未簽發的驅動
程式RBNL.SYS,後者再關閉電腦防毒軟體的行程和檔案,最後安裝名為羅賓漢(
RobbinHood)的勒索軟體,使其如入無人之境,加密用戶檔案進行勒索。
安全廠商說,該勒索軟體在植入合法(但有漏洞的)驅動程式後,得以存取Windows核心
記憶體、關閉Windows內建的驅動程式簽章檢查、下載惡意驅動程式、從核心記憶體空間
終止受害電腦安全防護軟體,如此高明的手法,是他們迄今首見。
Sophos研究人員發現,這種手法在Windows 7、8及10電腦上都能得逞。
研究人員建議,除了更新桌機安全軟體、修補任何已知漏洞外,應使用雙因素驗證、限制
管理員權限的發派、做好密碼管理,並定期做好資料備份。
除了勒索軟體RobbinHood之外,安全專家也曾發現2018年的挖礦軟體WinstarNssmMiner,
及去年的Nemty和Snatch也能關閉防毒軟體,或是讓電腦重開機進入安全模式,以迴避防
毒偵測。
新聞連結:https://reurl.cc/6gra9M
--
Tags:
3C
All Comments
By Tristan Cohan
at 2020-02-12T18:48
at 2020-02-12T18:48
By William
at 2020-02-14T08:50
at 2020-02-14T08:50
By Ursula
at 2020-02-14T14:42
at 2020-02-14T14:42
By Christine
at 2020-02-17T03:11
at 2020-02-17T03:11
By Andy
at 2020-02-21T14:15
at 2020-02-21T14:15
By Donna
at 2020-02-26T10:54
at 2020-02-26T10:54
By Wallis
at 2020-02-29T15:52
at 2020-02-29T15:52
By Audriana
at 2020-03-03T10:05
at 2020-03-03T10:05
By Elma
at 2020-03-06T07:56
at 2020-03-06T07:56
By Olivia
at 2020-03-08T23:01
at 2020-03-08T23:01
By Jack
at 2020-03-10T07:06
at 2020-03-10T07:06
By Vanessa
at 2020-03-11T18:33
at 2020-03-11T18:33
By Tom
at 2020-03-11T20:02
at 2020-03-11T20:02
By Ophelia
at 2020-03-13T22:25
at 2020-03-13T22:25
By Mia
at 2020-03-13T23:29
at 2020-03-13T23:29
By Ida
at 2020-03-16T09:14
at 2020-03-16T09:14
By Edwina
at 2020-03-20T14:48
at 2020-03-20T14:48
By Kumar
at 2020-03-25T13:43
at 2020-03-25T13:43
By Andrew
at 2020-03-27T20:26
at 2020-03-27T20:26
By Hazel
at 2020-03-30T19:29
at 2020-03-30T19:29
By Aaliyah
at 2020-04-03T12:18
at 2020-04-03T12:18
By Hazel
at 2020-04-03T20:18
at 2020-04-03T20:18
By Robert
at 2020-04-05T11:59
at 2020-04-05T11:59
By Rachel
at 2020-04-09T03:26
at 2020-04-09T03:26
By Enid
at 2020-04-11T06:22
at 2020-04-11T06:22
By Kama
at 2020-04-12T03:50
at 2020-04-12T03:50
By Caroline
at 2020-04-16T12:37
at 2020-04-16T12:37
By Susan
at 2020-04-19T02:06
at 2020-04-19T02:06
By Todd Johnson
at 2020-04-19T09:41
at 2020-04-19T09:41
By Rae
at 2020-04-22T19:56
at 2020-04-22T19:56
By Edith
at 2020-04-23T18:23
at 2020-04-23T18:23
By Annie
at 2020-04-24T04:31
at 2020-04-24T04:31
By Annie
at 2020-04-28T23:22
at 2020-04-28T23:22
By Kama
at 2020-04-30T18:28
at 2020-04-30T18:28
By Hedwig
at 2020-05-03T05:38
at 2020-05-03T05:38
By Linda
at 2020-05-04T04:00
at 2020-05-04T04:00
By Olive
at 2020-05-06T02:43
at 2020-05-06T02:43
Related Posts
30K 程式&入門機器學習機
By David
at 2020-02-11T19:42
at 2020-02-11T19:42
台灣pay最後一天
By Zanna
at 2020-02-11T19:00
at 2020-02-11T19:00
50K影片剪輯CAD繪圖機
By Belly
at 2020-02-11T18:51
at 2020-02-11T18:51
2050年出現1024核心CPU?!
By Lily
at 2020-02-11T18:35
at 2020-02-11T18:35
貓頭鷹L9i與L9i的差別是?
By Daph Bay
at 2020-02-11T18:35
at 2020-02-11T18:35