RobinHood Ransomware通过易受攻击的技嘉驱动程序杀死AV

　　Sophos的安全专家分析了两次RobinHood勒索软件攻击，发现它们使用了过时的千兆字节驱动程序来麻痹已安装的防病毒软件。然后，攻击开始进行加密。
另请阅读：
黑科技:技嘉X299X“水雕”主板：双雷电3
技嘉商务套装win10笔记本
 

　　以下来自SophosLabs的推文指的是原始文章，而Bleeping Computer 在这里已将其收录。

　　最新研究：两种勒索软件攻击在执行破坏性文件加密部分之前，借用了易受攻击的驱动程序，从目标计算机中删除了安全软件。

　　全文：https: //t.co/6nvrryoGEG pic.twitter.com/tBrVXYBv6O

　　-SophosLabs(@SophosLabs)2020年2月6日

　　旧的技嘉驱动程序为漏洞

　　台湾主板制造商技嘉的已签名但已过时的驱动程序(软件包的一部分)包含自2018年以来已知的CVE-2018-19320漏洞。

　　GIGABYTE APP Center v1.05.21及更低版本，GDRUS 1.57之前的AORUS GRAPHICS ENGINE，1.26之前的XTREME GAMING ENGINE和OC GURU II v2.08中的GDrv低级驱动程序公开了类似ring0 memcpy的功能，这些功能可能允许本地攻击者完全使用控制受影响的系统。

　　驱动程序附带的软件包已过时。但是Microsoft和Verisign均未撤消其签名证书，Verisign的代码签名机制用于对驱动程序进行数字签名，因此Authenticode签名仍然有效。

　　通过驾驶员攻击

　　在观察到的情况下，RobinHood勒索软件背后的网络罪犯使用技嘉驱动程序作为将第二个未签名的驱动程序加载到Windows中的杠杆。然后，第二个驱动程序尝试杀死端点安全产品(防病毒软件)中的进程和文件。这样可以绕过这些软件包的篡改保护，并且勒索软件可以自由加密文件。然后显示RobinHood勒索软件消息。

　　Sophos安全研究人员写道，这是首次观察到勒索软件提供由Microsoft共同签名(但容易受到攻击)的第三方驱动程序，以在内存中修补Windows内核，加载其自己的未签名的恶意驱动程序并从中删除安全应用程序。核心。在所分析的两种情况下，均发现了RobbinHood勒索软件。

　　绕过Windows病毒/勒索软件保护

　　安全研究人员最近发现RobbinHood勒索软件家族如何能够在不保护端点保护软件的情况下加密文件。勒索软件安装程序通过驱动程序成功渗入Windows 7，Windows 8和Windows 10内核内存，然后在系统上运行名为STEEL.EXE的文件。

　　这会将许多其他文件提取到C： WINDOWS TEMP文件夹中。然后启动解压缩的文件，然后安装具有漏洞的驱动程序并杀死病毒扫描程序进程。有关详细信息，请参见Sophos这篇文章。因此，如果您使用的是旧的千兆字节硬件，则应检查驱动程序是否仍安装在Windows上。