勒索软件利用 Windows 驱动程序漏洞关闭防病毒软件
时间:2020-02-10 12:11 来源:linux.it.net.cn 作者:IT
安全公司 Sophos 警告说,新的勒索软件攻击使用了易受攻击的技嘉驱动程序,试图闯入 Windows 系统,然后禁用正在运行的安全软件。该攻击基于 2018 年在技嘉驱动程序中发现的安全漏洞,该安全漏洞在 CVE-2018-19320 中有详细说明。
该驱动程序在技嘉确认该错误后已被废弃,它允许恶意攻击者利用此漏洞来尝试访问设备并部署第二个驱动程序,目的是杀死系统当中的杀毒产品。Sophos 表示,第二个驱动程序会不遗余力地杀死属于端点安全产品的进程和文件,绕过篡改保护,使勒索软件能够在不受干扰的情况下进行攻击。这是安全研究人员第一次观察到勒索软件运送一个微软联合签名的第三方驱动程序来修补内存中的 Windows 内核,以加载自己未签名的恶意驱动程序,并从内核空间中删除安全应用程序
这次黑客使用的勒索软件称为 RobbinHood,它要求受害者付款以解锁其文件。赎金记录上写着,如果他们不付款,价格每天就会增加 1 万美元。利用技嘉 gdrv.sys 驱动程序的可执行文件称为 Steel.exe,它提取 Windows temp 文件夹中名为 ROBNR.exe 的文件,该文件依次提取两个不同的驱动程序,一个由 Gigabyte 开发(易受攻击),另一个用于禁用受损设备上的防病毒软件。一旦该漏洞被利用,Windows 驱动程序签名强制将被禁用,从而允许启动恶意驱动程序。
Sophos表示,除了在勒索软件攻击中保持安全的常用做法外,没有什么可以帮助用户阻止该漏洞被黑客利用。
来源:cnBeta.COM
更多资讯
Windows 7 bug 阻止用户关机或重启
Windows 7 用户报告一个未知原因的 bug 会导致在尝试关机或重启时弹出警告信息“你没有权限关闭这台计算机”。Windows 7 已在今年 1 月结束支持,意味着微软不再可能会像 Windows 7 系统释出补丁。
来源:solidot.org
详情链接: https://www.dbsec.cn/blog/news.html
入侵 NFL 帐户的黑客劫持了 FB 的 Twitter 和 Instagram 帐户
据外媒 The Verge 报道,当地时间周五晚上,数个 Facebook 的 Twitter 和 Instagram 帐户中被劫持,而入侵这些账户的黑客上周曾入侵 NFL 和 ESPN 的社交媒体帐户。一个自称为 OurMine 的组织在 Facebook 的 Twitter 帐户以及其单独的Messenger帐户上发表了多个帖子。The Verge 观察到该组织多次发布同一条推文,然后迅速将其删除。
来源:cnBeta.COM
详情链接: https://www.dbsec.cn/blog/news.html
美国空军利用区块链技术帮助保护武器数据安全
美国空军与区块链数据管理公司 Fluree 签署了一份合同,以便在军方内部更安全地跟踪和共享信息。美国空军目前正与一家区块链数据管理公司合作,与军方其他部门安全、快速地共享信息。
来源:cnBeta.COM
详情链接: https://www.dbsec.cn/blog/news.html
美国国土安全部承认使用数据库追踪数百万手机用户
美国国土安全部已经承认其使用了追踪数百万智能手机用户的数据库,无视此前作出的一项法庭裁决。据报道,这些数据已经被用于边境和移民执法,有一些证据表明,国土安全部并不想承认有权访问它的…。
来源:新浪科技
详情链接: https://www.dbsec.cn/blog/news.html
(责任编辑:IT)
| 安全公司 Sophos 警告说,新的勒索软件攻击使用了易受攻击的技嘉驱动程序,试图闯入 Windows 系统,然后禁用正在运行的安全软件。该攻击基于 2018 年在技嘉驱动程序中发现的安全漏洞,该安全漏洞在 CVE-2018-19320 中有详细说明。 该驱动程序在技嘉确认该错误后已被废弃,它允许恶意攻击者利用此漏洞来尝试访问设备并部署第二个驱动程序,目的是杀死系统当中的杀毒产品。Sophos 表示,第二个驱动程序会不遗余力地杀死属于端点安全产品的进程和文件,绕过篡改保护,使勒索软件能够在不受干扰的情况下进行攻击。这是安全研究人员第一次观察到勒索软件运送一个微软联合签名的第三方驱动程序来修补内存中的 Windows 内核,以加载自己未签名的恶意驱动程序,并从内核空间中删除安全应用程序 这次黑客使用的勒索软件称为 RobbinHood,它要求受害者付款以解锁其文件。赎金记录上写着,如果他们不付款,价格每天就会增加 1 万美元。利用技嘉 gdrv.sys 驱动程序的可执行文件称为 Steel.exe,它提取 Windows temp 文件夹中名为 ROBNR.exe 的文件,该文件依次提取两个不同的驱动程序,一个由 Gigabyte 开发(易受攻击),另一个用于禁用受损设备上的防病毒软件。一旦该漏洞被利用,Windows 驱动程序签名强制将被禁用,从而允许启动恶意驱动程序。 Sophos表示,除了在勒索软件攻击中保持安全的常用做法外,没有什么可以帮助用户阻止该漏洞被黑客利用。 来源:cnBeta.COM 更多资讯 Windows 7 bug 阻止用户关机或重启 Windows 7 用户报告一个未知原因的 bug 会导致在尝试关机或重启时弹出警告信息“你没有权限关闭这台计算机”。Windows 7 已在今年 1 月结束支持,意味着微软不再可能会像 Windows 7 系统释出补丁。 来源:solidot.org 详情链接: https://www.dbsec.cn/blog/news.html 入侵 NFL 帐户的黑客劫持了 FB 的 Twitter 和 Instagram 帐户 据外媒 The Verge 报道,当地时间周五晚上,数个 Facebook 的 Twitter 和 Instagram 帐户中被劫持,而入侵这些账户的黑客上周曾入侵 NFL 和 ESPN 的社交媒体帐户。一个自称为 OurMine 的组织在 Facebook 的 Twitter 帐户以及其单独的Messenger帐户上发表了多个帖子。The Verge 观察到该组织多次发布同一条推文,然后迅速将其删除。 来源:cnBeta.COM 详情链接: https://www.dbsec.cn/blog/news.html 美国空军利用区块链技术帮助保护武器数据安全 美国空军与区块链数据管理公司 Fluree 签署了一份合同,以便在军方内部更安全地跟踪和共享信息。美国空军目前正与一家区块链数据管理公司合作,与军方其他部门安全、快速地共享信息。 来源:cnBeta.COM 详情链接: https://www.dbsec.cn/blog/news.html 美国国土安全部承认使用数据库追踪数百万手机用户 美国国土安全部已经承认其使用了追踪数百万智能手机用户的数据库,无视此前作出的一项法庭裁决。据报道,这些数据已经被用于边境和移民执法,有一些证据表明,国土安全部并不想承认有权访问它的…。 来源:新浪科技 详情链接: https://www.dbsec.cn/blog/news.html (责任编辑:IT) |