Четверг, 28 мая, 16:44
дома безопасность Ransomware устанавливает драйвер Gigabyte, чтобы «убить» антивирус

Ransomware устанавливает драйвер Gigabyte, чтобы «убить» антивирус

Бригада вымогателей устанавливает уязвимые драйверы GIGABYTE на компьютеры, которые она хочет заразить. Цель этих драйверов - позволить хакерам отключить их продукты безопасности, так что их исполняемый файл вымогателей может шифровать файлы без обнаружения или остановки.

По словам Софоса, эта новая оригинальная техника была обнаружена в двух эпизодах вымогателей.

В обоих случаях вымогателем был RobbinHood, штамм вымогателей «большой игры», обычно используемый в целевых нападки против выбранных целей высокой ценности.

В опубликованном отчете Sophos описывает эту новую технику следующим образом:

  • Хакеры устанавливают законный драйвер ядра Gigabyte программой GDRV.SYS.
  • Хакеры используют уязвимость в этом драйвере для получения доступа к ядру.
  • Злоумышленники используют доступ к ядру, чтобы временно отключить программу принудительной подписи драйверов ОС Windows.
  • Хакеры устанавливают вредоносную программу драйвера ядра с именем RBNL.SYS.
  • Злоумышленники используют эту драйверную программу для отключения или остановки антивирусных программ и других продуктов безопасности, работающих на зараженном хосте.
  • Хакеры запускают программу-вымогатель RobbinHood и шифруют файлы жертвы.

Sophos упоминает эту технику обхода антивирус работает на Windows 7, Windows 8 и Windows 10.

вымогателей

Этот метод успешен из-за способа обработки драйвера Gigabyte, оставляя пробел, который может быть использован драйверами. Хакеры.

Ответственность за это разочарование несут две стороны - сначала Gigabyte, а затем Verisign.

Ошибка Gigabyte заключается в непрофессиональном способе обработки отчета об уязвимости для уязвимого драйвера. Вместо того, чтобы признать проблему и выпустить патч, Gigabyte заявила, что ее продукты не пострадали.

Явный отказ компании признать уязвимость привел к тому, что исследователи, обнаружившие ошибку, опубликовали общедоступные сведения об ошибке вместе с проверочным кодом для ее воспроизведения. уязвимость, Публикация кода дала злоумышленникам план использования драйвера Gigabyte.

Когда общественное давление было оказано на компанию, чтобы исправить драйвер, Gigabyte решил выключить вместо выпуска заплата.

Но даже если Gigabyte выпустила патч, злоумышленники могут просто использовать более старую уязвимую версию драйвера. В этом случае сертификат подписи водителя должен был быть отозван, чтобы старые не могли быть загружены публикации водитель.

«Verisign, чей механизм подписи кода использовался для цифровой подписи драйвера, не отозвал сертификат подписи, поэтому подпись Authenticode остается действительной», - говорят исследователи Sophos, объясняя, почему загрузка все еще возможна сегодня удаленный и известный, уязвимый драйвер в Windows.

Но если мы слышим о киберпреступниках, большинство из них копируют успешные методы, поэтому ожидается, что другие банды-вымогатели включат этот трюк в свои арсеналы, что приведет к большему нападки.

ОСТАВИТЬ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

Teo Ehc
Teo Ehchttps://www.secnews.gr
Будь ограниченным тиражом.

LIVE NEWS

Instagram: увеличение доходов создателей с помощью рекламы на IGTV

Instagram также приносит рекламу в IGTV, 55% доходов уходит создателям. Социальные медиа сделали ...

Windows 10 2004 поставляется с поддержкой Wi-Fi 6 и WPA3

Microsoft объявила, что Windows 10 версии 2004 поставляется с поддержкой Wi-Fi 6 и WPA3 для гигабитных скоростей и лучшей производительности, ...

CoreOS Container Linux от Red Hat подходит к концу

Как недавно объявил Бенджамин Гилберт, тренер Fedora CoreOS по поддержке CoreOS Container Linux, ...

Дональд Трамп угрожает закрыть платформы социальных сетей

Как он заявил в недавнем твите, президент США Дональд Трамп намерен изменить ...

Google образование для практики отслеживания пользователей

Google получил иск от генерального прокурора Аризоны Марка Брновича в отношении практики ...

Университет штата Мичиган: принято нападение вымогателей!

Хакеры за вымогателей NetWalker, также известный как Mailto, объявили, что они заразили ...

Linux Kodachi: версия v7.0 была выпущена со многими новыми приложениями

Недавно была выпущена новая версия Linux Kodachi. Хотя эта функция не очень известна ...

Безопасность в облаке: усилить атаки на онлайн-сервисы

В последние месяцы атаки киберпространства, нацеленные на облачные сервисы, значительно усилились, поскольку киберпреступники пытаются ...

Ransomware: выкуп, требуемый хакерами, увеличился в 14 раз

Ransomware стал одной из самых коварных угроз за последние два года, когда хакеры усиливают свою деятельность ...

Новая поправка для онлайн-наблюдения за американцами!

После трех дней переговоров члены парламента достигли соглашения о защите частной жизни американских граждан. Поправка ...