黑客利用Windows驱动程序漏洞关闭防病毒软件
PingWest品玩2月8日讯,据cnBeta转述安全性企业Sophos警示称,新的勒索软件进攻应用了易受攻击的技嘉主板驱动程序,尝试闯进Windows系统软件,随后禁止使用已经运作的防护软件。
该进攻根据2018年在技嘉主板驱动程序中发觉的安全漏洞,该安全漏洞在CVE-2018-19320中有详细描述。该驱动程序在技嘉主板确定该不正确后已被废料,它容许故意网络攻击利用此系统漏洞来试着浏览机器设备并布署第二个驱动程序,目地是杀掉系统软件之中的消毒商品。
此次网络黑客应用的勒索软件称之为RobbinHood,它规定受害人付款以开启其文档。保释金纪录上写着,假如她们不付款,价钱每日便会提升1万美元。利用技嘉主板gdrv.sys驱动程序的可执行程序称之为Steel.exe,它获取Windows temp文件夹名称中名叫ROBNR.exe的文档,该文件先后获取2个不一样的驱动程序,一个由Gigabyte开发设计(易受攻击),另一个用以禁止使用损伤机器设备上的杀毒软件。一旦该系统漏洞被利用,Windows驱动程序签字强制性将被禁止使用,进而容许运行故意驱动程序。
