“狡猾的RobbinHood Ransomware采用技嘉硬件驱动程序来容纳数据人质”

sophos的安全研究者研究了两次恐吓软件攻击。 攻击者使用合法的数字签名硬件驱动程序从目标计算机中删除安全产品。 从目标计算机上删除安全产品后，将启动攻击的破坏性文件加密部分。 使用的签名驱动程序是技嘉(主板和计算机硬件制造商)淘汰的软件包的一部分。

该软件的已知漏洞跟踪是cve--19320。 该漏洞及其概念说明代码于年公布。 当时，技嘉否认这个漏洞影响了产品。 之后，他承认存在漏洞，停止了软件的采用，但robbinhood恐吓软件的目标计算机仍然存在。

被用于攻击的驱动程序已经采用了verisign签名。 这意味着authenticode签名是有效的，因为该公司还没有撤销签名证书。 攻击者采用技嘉驱动器作为楔块。 这是因为可以将第二个未签名的驱动程序加载到windows中。 第二个驱动程序会杀死属于安全产品的进程和文件，绕过篡改保护。 据此，威胁软件可以不受安全产品的干扰进行攻击。

据sophos称，他首次注意到，威胁软件先出厂可靠、已签名但易受攻击的驱动程序，然后加载未签名的恶意驱动程序进行攻击。 勒索软件绕开的安全软件并不新鲜。 他说，sophos正在深入研究这个恶意软件，以便可以在这里看到这个恶意软件，让防御者可以预料到对攻击采取防御措施。

为了防止攻击，sophos提出了一点缓和技术。 管理员表示，需要部署一系列技术来破坏尽可能多的攻击阶段。 客户必须具有严格的安全规则，包括mfa、多种多样的密码、有限的访问权限和定期备份。 管理者需要教育员工sophos指出，人是互联网安全中最薄弱的部分。

对失去数据和生产力的企业来说，网络攻击带来的损失代价高昂，威胁软件攻击的阴险面也变大。 研究人员将致命性心脏病发作的增加与2019年底医院恐吓软件攻击联系起来。 死亡人数的增加与威胁软件攻击后等待治疗的额外时间有关。

本文：《“狡猾的RobbinHood Ransomware采用技嘉硬件驱动程序来容纳数据人质”》