勒索软体利用有漏洞的技嘉驱动程式关闭电脑防毒软体 遭官方弃用的硬体驱动程式，因含有未修补漏洞，被骇客用来入侵Windows电脑并关闭防 毒软体，以成功安装勒索软体，加密用户档案勒索金钱 文/林妍溱 | 2020-02-11发表 安全厂商发现勒索软体攻击手法再翻新，一个新种勒索软体家族，可在电脑安装合法的硬 体驱动程式再关闭电脑防毒软体，藉此加密用户档案勒索金钱，从Windows 7到最新的 Windows 10用户都可能受害。 防毒软体业者Sophos发现到二只勒索软体采用一种离地攻击（living-off-the land）手 法，使用了技嘉电脑已淘汰不用的驱动程式GDrv中，一个编号CVE-2018-19320的漏洞。 CVE-2018-19320也曾经於2018年底被其他资安公司揭露，影响数款主机板或显卡。技嘉随 後已经弃用这个程式，但漏洞仍然存在。 雪上加霜的是，凭证发放机构Verisign并未取消签发给驱动程式GDrv的凭证，以致於该凭 证仍然有效。 骇客就利用这些余毒发动最新一波攻击。攻击者利用技嘉有漏洞的驱动程式进入用户 Windows电脑，暂时关闭Windows内建的驱动程式签章检查，以便下载第二个未签发的驱动 程式RBNL.SYS，後者再关闭电脑防毒软体的行程和档案，最後安装名为罗宾汉（ RobbinHood）的勒索软体，使其如入无人之境，加密用户档案进行勒索。 安全厂商说，该勒索软体在植入合法（但有漏洞的）驱动程式後，得以存取Windows核心 记忆体、关闭Windows内建的驱动程式签章检查、下载恶意驱动程式、从核心记忆体空间 终止受害电脑安全防护软体，如此高明的手法，是他们迄今首见。 Sophos研究人员发现，这种手法在Windows 7、8及10电脑上都能得逞。 研究人员建议，除了更新桌机安全软体、修补任何已知漏洞外，应使用双因素验证、限制 管理员权限的发派、做好密码管理，并定期做好资料备份。 除了勒索软体RobbinHood之外，安全专家也曾发现2018年的挖矿软体WinstarNssmMiner， 及去年的Nemty和Snatch也能关闭防毒软体，或是让电脑重开机进入安全模式，以回避防 毒侦测。 新闻连结:https://reurl.cc/6gra9M -- 我们做麻瓜是有尊严有底线的 --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 114.27.42.88 (台湾) ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1581511206.A.3E4.html