※ 本文轉寄自 ptt.cc, 文章原始頁面
[情報] 勒索軟體利用有漏洞的技嘉驅動程式關閉
勒索軟體利用有漏洞的技嘉驅動程式關閉電腦防毒軟體
遭官方棄用的硬體驅動程式,因含有未修補漏洞,被駭客用來入侵Windows電腦並關閉防
毒軟體,以成功安裝勒索軟體,加密用戶檔案勒索金錢
文/林妍溱 | 2020-02-11發表
安全廠商發現勒索軟體攻擊手法再翻新,一個新種勒索軟體家族,可在電腦安裝合法的硬
體驅動程式再關閉電腦防毒軟體,藉此加密用戶檔案勒索金錢,從Windows 7到最新的
Windows 10用戶都可能受害。
防毒軟體業者Sophos發現到二隻勒索軟體採用一種離地攻擊(living-off-the land)手
法,使用了技嘉電腦已淘汰不用的驅動程式GDrv中,一個編號CVE-2018-19320的漏洞。
CVE-2018-19320也曾經於2018年底被其他資安公司揭露,影響數款主機板或顯卡。技嘉隨
後已經棄用這個程式,但漏洞仍然存在。
雪上加霜的是,憑證發放機構Verisign並未取消簽發給驅動程式GDrv的憑證,以致於該憑
證仍然有效。
駭客就利用這些餘毒發動最新一波攻擊。攻擊者利用技嘉有漏洞的驅動程式進入用戶
Windows電腦,暫時關閉Windows內建的驅動程式簽章檢查,以便下載第二個未簽發的驅動
程式RBNL.SYS,後者再關閉電腦防毒軟體的行程和檔案,最後安裝名為羅賓漢(
RobbinHood)的勒索軟體,使其如入無人之境,加密用戶檔案進行勒索。
安全廠商說,該勒索軟體在植入合法(但有漏洞的)驅動程式後,得以存取Windows核心
記憶體、關閉Windows內建的驅動程式簽章檢查、下載惡意驅動程式、從核心記憶體空間
終止受害電腦安全防護軟體,如此高明的手法,是他們迄今首見。
Sophos研究人員發現,這種手法在Windows 7、8及10電腦上都能得逞。
研究人員建議,除了更新桌機安全軟體、修補任何已知漏洞外,應使用雙因素驗證、限制
管理員權限的發派、做好密碼管理,並定期做好資料備份。
除了勒索軟體RobbinHood之外,安全專家也曾發現2018年的挖礦軟體WinstarNssmMiner,
及去年的Nemty和Snatch也能關閉防毒軟體,或是讓電腦重開機進入安全模式,以迴避防
毒偵測。
新聞連結:https://reurl.cc/6gra9M
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.160.227.58 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/PC_Shopping/M.1581426349.A.389.html
44 則留言
nk11208z 作者的近期文章
[情報] 英特爾:電腦記憶體可輕鬆升級 比手機適
中央社 英特爾:電腦記憶體可輕鬆升級 比手機適合成AI裝置 中央社 記者 張建中 新北27日電 特爾(Intel)業務暨行銷事業群商用業務總監鄭智成今天表示,相較於手機,電腦記憶 體可以輕鬆升級,更有機會成為生成式人工智慧(AI)的最佳裝置
[情報] 聯電12奈米 技轉英特爾
聯電12奈米 技轉英特爾 經濟日報/ 記者 李孟珊 /台北報導 聯電營運大突破。供應鏈透露,聯電將技轉12奈米製程技術予英特爾,雙方接洽多時後, 近期簽訂合作意向書,主因聯電12奈米安謀(Arm)架構獲得青睞,對主攻x86架構的英特 爾產生
[情報] 美光DDR5 8000規格準備就緒 明年128GB量
經濟日報 美光DDR5 8000規格準備就緒 明年128GB量產出貨 經濟日報 記者蘇嘉維/台北即時報導 記憶體大廠美光科技(Nasdaq:MU)宣布,推出 128GB DDR5 RDIMM記憶體,採用32Gb單 片晶粒,以高達8,000
[菜單] 180K AI深度學習機
已買/未買/已付訂金(元):未買 預算/用途:180K AI深度學習機,主要是要讓機器學習大量的影片 圖片 (會另外將學習素材存放於既有NAS上) 穩定度優先 有考慮過直接買DGX A100或是其他整套的GPU機器 但是價格還是都太高,公司
[情報] 美國商務部:允許NVIDIA GeForce RTX 409
4GAMES 美國商務部:允許NVIDIA GeForce RTX 4090在中國零售,但禁止生產 針對晶片禁令升級,美國商務部工業和安全局追加豁免條件,NVIDIA GeForce RTX 4090 仍可在中國零售。 美國商務部工業和安全
推
→
推
→
推
推
→
推
推
→
推
→
→
推
推
→
→
推
推
推
→
推
→
→
→
→
推
推
推
推
→
推
推
推
→
→
→
推
→
推
推
→
推
推