导读 根据领先的软件安全公司Sophos的研究,一种名为 RobbinHood的勒索软件一直在使用合法但易受攻击的技嘉驱动程序来感染计算机系统并将其接管
根据领先的软件安全公司Sophos的研究,一种名为“ RobbinHood”的勒索软件一直在使用合法但易受攻击的技嘉驱动程序来感染计算机系统并将其接管。
该攻击在Windows 7和更高版本的操作系统(OSes)上有效。据Sophos称,技嘉此前曾否认其驱动程序容易受到勒索软件组织现在利用的漏洞的攻击。
技嘉也应归咎于最初在2018年取消了该漏洞,当时安全研究人员首次向公司报告了该漏洞。公众最终向技嘉施加了足够的压力,使其承认了这一缺陷。
但是,该公司没有发布补丁程序来修复其较旧主板的漏洞,而是停止了对该驱动程序的支持。Gigatebyte方面的这种错误判断现在使攻击者能够为其未打补丁的驱动程序提供武器。
Sophos说,另一负责方是Verisign。技嘉终止其驱动程序两年后,由于Verisign未能撤消其签名证书,Windows操作系统和许多防病毒程序仍默认“信任”该驱动程序。这使攻击者可以利用受信任的驱动程序在受害者的计算机上安装另一个未签名的驱动程序。
之后,攻击者将使用此新驱动程序首先在内存中修补Windows内核,并杀死防病毒程序和其他终结点安全解决方案,以防止勒索软件接管机器。
一类勒索软件
Sophos研究人员说,尽管他们以前曾见过其他勒索软件试图杀死防病毒程序,但他们从未见过勒索软件使用受信任的第三方驱动程序来实现此目的的勒索软件。
大多数安全解决方案都有在所有安装上默认启用的某种“受信任程序”列表。这是安全公司为了结束大量误报并避免太多用户阻止程序而做出的妥协,因为他们不了解防病毒程序要求他们执行的操作。