首页 > 资讯列表 > win10 >> win10

注意!黑客现可利用Windows驱动程序漏洞关闭杀毒软件

win10 2020-02-09 00:03:05 转载来源: IThome

站搜网 Win10 频道2月8日消息 据外媒报道,安全公司Sophos近日警告称,新型勒索软件目前已可以通过攻击技嘉驱动程序来入侵Windows系统并通过部署第二个驱动程序来禁用正在运行的杀毒软件。该勒索软件利用的是2018年在技嘉驱动程序中发现的安全漏洞,技嘉(Gigabyte)已确认该BUG的存在,后者允许恶意攻击者利用此漏洞来尝试访问设备并部署,目的是阻断杀毒软件等常规安全软件对PC的保护

站搜网 Win10 频道2月8日消息 据外媒报道,安全公司Sophos近日警告称,新型勒索软件目前已可以通过攻击技嘉驱动程序来入侵Windows系统并通过部署第二个驱动程序来禁用正在运行的杀毒软件

该勒索软件利用的是2018年在技嘉驱动程序中发现的安全漏洞,技嘉(Gigabyte)已确认该BUG的存在,后者允许恶意攻击者利用此漏洞来尝试访问设备并部署,目的是阻断杀毒软件等常规安全软件对PC的保护。该安全漏洞在CVE-2018-19320中有详细说明。

Sophos表示:“第二个驱动程序会阻断安全软件的进程和文件,绕过篡改保护,使勒索软件能够不受干扰地对用户电脑进行攻击”,“这是我们第一次观察到有勒索软件通过利用拥有微软联合签名的第三方驱动程序来修改内核文件进而达到加载自己未签名的恶意驱动程序,并从内核中删除安全应用程序的目的。”

恶意驱动程序

黑客使用的勒索软件为RobbinHood,受害者必须通过付款的方式以解锁文件。赎金记录显示,如果受害者不付款的话,赎金额度就会以10,000美元/天的速度上升。

被利用的技嘉gdrv.sys驱动程序的可执行文件被称为Steel.exe,它在Windows临时文件夹中提取一个名为ROBNR.EXE的文件,该文件提取了两个不同的驱动程序,一个是技嘉开发的(易受攻击的驱动程序),和另一个用于在受感染设备上禁用防病毒软件的软件。受害者电脑一旦被利用,Windows驱动程序签名将被强制禁用进而允许恶意驱动程序启动。

Sophos表示,除了继续使用安全软件阻止攻击外目前尚无能够帮助用户阻止自己的PC被利用的办法,因为即使是安装了完整补丁程序的计算机也有可能受到威胁。

标签: 注意 黑客 可利用 Windows 驱动程序 漏洞 关闭 杀毒软件


声明:本文内容来源自网络,文字、图片等素材版权属于原作者,平台转载素材出于传递更多信息,文章内容仅供参考与学习,切勿作为商业目的使用。如果侵害了您的合法权益,请您及时与我们联系,我们会在第一时间进行处理!我们尊重版权,也致力于保护版权,站搜网感谢您的分享!

站长搜索

http://www.adminso.com

Copyright @ 2007~2024 All Rights Reserved.

Powered By 站长搜索

打开手机扫描上面的二维码打开手机版


使用手机软件扫描微信二维码

关注我们可获取更多热点资讯

站长搜索目录系统技术支持