有勒索软件利用存在缺陷的技嘉驱动程序直接杀死安全软件的进程
多数勒索软件在实施感染前可能就会被安全软件检测到,因此如何规避安全软件检测或查杀是黑客们头疼的问题。
而安全软件的相关进程是无法直接杀死的,基于安全考虑微软授予杀毒软件进程内核级权限可规避恶意软件操作。
想要杀死安全软件进程同样需要内核级别的权限才可操作,但万万没想到还真有恶意软件成功获得内核级的权限。
这款恶意软件就是RobbinHood Ransomware 勒索软件,该勒索软件成功利用内核级权限将安全软件进程杀死。
为保护操作系统安全微软在内核层面实施特殊的权限控制,安全软件需要获得微软的共同签名才可以获得该权限。
安全软件获得内核级权限后不会被普通进程杀死,普通进程尝试杀死内核级进程时会直接提示无权操作导致失败。
而技嘉某个驱动程序由微软共同开发因此具有微软签名,但不幸的是技嘉这款驱动程序存在某个已知的安全漏洞。
攻击者借助漏洞可以禁用微软驱动程序强制签名功能,禁用后攻击者便可以自定义安装具有内核权限的恶意软件。
RobbinHood Ransomware 勒索软件的开发者成功获得内核权限,然后在被感染的计算机上杀死所有安全进程。
杀死安全进程后就可以不受干扰的随便操作,包括窃取机密信息并在完成后将所有文件加密向受害者勒索赎金等。
随着勒索软件行业的崛起目前攻击者们正在投入更多精力实施攻击,而此次利用技嘉驱动就是个高超的攻击范例。
这种攻击手法绕过端点防护软件的检测可以说是必杀技,而对于绝大多数用户来说这种攻击手法也是防不胜防的。
在此也提醒大家不要执行任何来历不明的软件、远程桌面使用高强度密码以及定期安装微软发布的补丁确保安全。