Sophos 發現兩起獨立的勒索軟體攻擊,鎖定台灣著名主機板廠商技嘉 (Gigabyte) 旗下合法且經數位簽章,但存有漏洞並已淘汰的硬體驅動程式植入到目標電腦的 Windows 核心記憶體,關閉系統中的端點安全產品和刪除軟體檔案,啟動RobbinHood (羅賓漢) 的勒索軟體。
攻擊分析還發現,無論是 Windows 7、8 到最新的 Windows 10電腦都有可能受害。這是 Sophos 首次觀察這種駭客手法,將經簽署的惡意驅動程式下載到受害者電腦。
Sophos 工程總監 Mark Loman 指出:「RobbinHood 勒索軟體以存有漏洞的第三方驅動程式搭配惡意驅動程式來發動攻擊。目的只有一個,就是使系統的防禦措施停擺,然後再由相關的惡意程式接手。因此,即使 Windows 電腦已全面更新且沒有任何已知漏洞,第三方驅動程式還是會為駭客提供後門,讓他們破壞電腦上的防線後再讓勒索軟體得逞。」
他更強調:「從對這兩起勒索軟體攻擊的分析可知,威脅持續演變的速度和危險程度令人驚訝。這是 Sophos 首次觀察到有勒索軟體自行引入經合法簽署但有漏洞的第三方驅動程式,並藉其停用已安裝的安全軟體,同時繞過專為防範竄改行為而設計的防護功能。這種手法能讓駭客躲過所有安全措施,使惡意程式長驅直入且執行勒索軟體,不會受到任何阻擋。」
該 Gigabyte 已淘汰驅動程式內含編號CVE-2018-19320的漏洞 (早在 2018 年便被揭露)。雖然該公司已不再採用這個驅動程式,但它仍然存在坊間流傳而成為一種威脅,即使是已經全面更新的電腦也因這種駭客「自帶」的漏洞而陷入危機。
在面對這種狡猾、高明的入侵手段時應該如何自保?Sophos建議使用者採取三重措施,以盡量減少成為受害者的風險:
採用能夠摧毀整個攻擊鏈的風險防護
現今的勒索軟體攻擊會同時利用多種技術和手段,所以只靠單一技術來防禦是不夠的,因為系統仍然相當脆弱。相反的,您必須部署一系列技術,務求在攻擊的不同階段進行攔截。此外,您亦應把公用雲納入自身系統安全的範圍。
轉自netmag
------------------------------------------------
怕.jpg 寄生在驅動程式 有人中過這種新的勒索病毒了嗎
難不成電腦的世界也要開始起疫了..