ГлавнаябезопасностьПрограмма-вымогатель устанавливает драйвер Gigabyte, чтобы «убить» антивирус.

Программа-вымогатель устанавливает драйвер Gigabyte, чтобы «убить» антивирус.

Бригада вымогателей устанавливает уязвимые драйверы GIGABYTE на компьютеры, которые она хочет заразить. Цель этих драйверов - позволить хакерам отключить их продукты безопасности, так что их исполняемый файл вымогателей может шифровать файлы без обнаружения или остановки.

По словам Софоса, эта новая оригинальная техника была обнаружена в двух эпизодах вымогателей.

В обоих случаях программа-вымогатель представляла собой RobbinHood, разновидность программы-вымогателя «большой игры», обычно используемой в целевых нападки против выбранных целей высокой ценности.

В опубликованном отчете Sophos описывает эту новую технику следующим образом:

  • Хакеры устанавливают законный драйвер ядра Gigabyte программой GDRV.SYS.
  • Хакеры используют уязвимость в этом драйвере для получения доступа к ядру.
  • Злоумышленники используют доступ к ядру, чтобы временно отключить программу принудительной подписи драйверов ОС Windows.
  • Хакеры устанавливают вредоносную программу драйвера ядра с именем RBNL.SYS.
  • Злоумышленники используют эту драйверную программу для отключения или остановки антивирусных программ и других продуктов безопасности, работающих на зараженном хосте.
  • Хакеры запускают программу-вымогатель RobbinHood и шифруют файлы жертвы.

Sophos упоминает эту технику обхода антивирус работает на Windows 7, Windows 8 и Windows 10.

вымогателей

Этот метод успешен из-за способа обработки драйвера Gigabyte, оставляя пробел, который может быть использован драйверами. Хакеры.

В этом разочаровании виноваты две стороны - сначала Gigabyte, затем Verisign.

Ошибка Gigabyte заключается в непрофессиональном способе обработки отчета об уязвимости для уязвимого драйвера. Вместо того, чтобы признать проблему и выпустить патч, Gigabyte заявила, что ее продукты не пострадали.

Явный отказ компании признать уязвимость привел к тому, что исследователи, обнаружившие ошибку, опубликовали общедоступные сведения об ошибке вместе с проверочным кодом для ее воспроизведения. уязвимость, Публикация кода дала злоумышленникам план использования драйвера Gigabyte.

Когда общественное давление было оказано на компанию, чтобы исправить драйвер, Gigabyte решил выключить вместо выпуска заплата.

Но даже если Gigabyte выпустила патч, злоумышленники могут просто использовать более старую уязвимую версию драйвера. В этом случае сертификат подписи водителя должен был быть отозван, чтобы старые не могли быть загружены публикации водитель.

«Verisign, чей механизм подписи кода использовался для цифровой подписи драйвера, не отозвал сертификат подписи, поэтому подпись Authenticode остается действительной», - заявили исследователи Sophos, объясняя, почему загрузка все еще возможна сегодня. несуществующего и хорошо известного уязвимого водителя в Windows.

Но если мы слышим о киберпреступниках, большинство из них копируют успешные методы, поэтому ожидается, что другие банды-вымогатели включат этот трюк в свои арсеналы, что приведет к большему нападки.

Teo Ehchttps://www.secnews.gr
Будь ограниченным тиражом.
spot_img

ЖИВЫЕ НОВОСТИ