文章來源:https://securityaffairs.co
原文鏈接:https://securityaffairs.co/wordpress/97457/malware/robbinhood-ransomware-gigabyte-driver.html
臭名昭著的RobbinHood勒索軟件背後的運營商正在利用脆弱的GIGABYTE驅動程序來殺死防病毒產品。
RobbinHood Ransomware背後的網絡犯罪分子正在利用易受攻擊的GIGABYTE驅動程序將惡意的未簽名驅動程序安裝到Windows中,旨在禁用安全產品。
勒索軟件運營商利用定製的防病毒殺毒軟件包,該軟件包已交付給工作站,以在開始加密之前禁用安全解決方案。
通常,Windows安全軟件進程只能由內核驅動程序殺死。為了防止濫用內核驅動程序,Microsoft還實施了驅動程序簽名驗證機制,這意味著只能安裝由Microsoft共同簽名的內核驅動程序。
現在,Sophos的安全研究人員詳細介紹了由威脅參與者在攻擊中所實施的新技術([1,2]),該技術涉及兩件RobbinHood勒索軟件。
攻擊者安裝了一個已知的易受攻擊的gb驅動程序,該驅動程序由微軟聯合簽名,並利用一個已知的漏洞來禁用微軟的驅動程序簽名實施功能。
Sophos一直在調查兩種不同的勒索軟件攻擊,在這兩種攻擊中,攻擊者部署了一個合法的數字簽名硬件驅動程序,以便在執行破壞性的文件加密部分攻擊之前,從目標計算機上刪除安全產品。Sophos發佈的報告稱。“這款簽名的驅動程序是臺灣主板製造商吉字節發佈的現已棄用的軟件包的一部分,它有一個已知的漏洞,被追蹤為CVE-2018-19320。”
操作人員使用的技術包括:
- 攻擊者立足於目標網絡,並安裝合法的技嘉內核驅動程序GDRV.SYS。
- 攻擊者利用合法驅動程序中的CVE-2018-19320漏洞獲取內核訪問權限。
- 攻擊者使用內核訪問權限來臨時禁用Windows OS驅動程序簽名強制實施,並安裝名為RBNL.SYS的惡意內核驅動程序。
- 攻擊者使用此驅動程序禁用安全產品。
- 攻擊者執行RobbinHood勒索軟件,並嘗試對受感染主機上的文件進行加密。
“在這種攻擊場景中,犯罪分子利用千兆字節的驅動程序作為楔子,這樣他們就可以將第二個未簽名的驅動程序加載到Windows中,”Sophos報告繼續寫道。“然後,第二個驅動程序不遺餘力地殺死屬於端點安全產品的進程和文件,繞過篡改保護,使勒索軟件能夠在不受干擾的情況下進行攻擊。”
在Sophos觀察到的攻擊中,操作員部署了一個名為Steel.exe的可執行文件,該可執行文件利用了GIGABYTE gdrv.sys驅動程序中的CORE-2018-0007漏洞。
專家指出,Steel.exe程序終止其文件包含在名為PLIST.TXT的文件中的進程,不幸的是Sophos可以訪問該文件,並且無法確定所針對的安全解決方案。
一旦Steel.exe終止了安全軟件,RobbinHood勒索軟件將對受感染系統上的文件進行加密。
Sophos發佈的報告中報告了有關攻擊的技術細節,包括危害指標(IoC)。
閱讀更多 白帽子 的文章
