注意！黑客现可利用Windows驱动程序漏洞关闭杀毒软件

2月8日消息 安全公司Sophos近日警告称，新型勒索软件目前已可以通过攻击技嘉驱动程序来入侵Windows系统并通过部署第二个驱动程序来禁用正在运行的杀毒软件。

该勒索软件利用的是2018年在技嘉驱动程序中发现的安全漏洞，技嘉（Gigabyte）已确认该BUG的存在，后者允许恶意攻击者利用此漏洞来尝试访问设备并部署，目的是阻断杀毒软件等常规安全软件对PC的保护。该安全漏洞在CVE-2018-19320中有详细说明。

Sophos表示：“第二个驱动程序会阻断安全软件的进程和文件，绕过篡改保护，使勒索软件能够不受干扰地对用户电脑进行攻击”，“这是我们第一次观察到有勒索软件通过利用拥有微软联合签名的第三方驱动程序来修改内核文件进而达到加载自己未签名的恶意驱动程序，并从内核中删除安全应用程序的目的。”

恶意驱动程序

黑客使用的勒索软件为RobbinHood，受害者必须通过付款的方式以解锁文件。赎金记录显示，如果受害者不付款的话，赎金额度就会以10,000美元/天的速度上升。

被利用的技嘉gdrv.sys驱动程序的可执行文件被称为Steel.exe，它在Windows临时文件夹中提取一个名为ROBNR.EXE的文件，该文件提取了两个不同的驱动程序，一个是技嘉开发的（易受攻击的驱动程序），和另一个用于在受感染设备上禁用防病毒软件的软件。受害者电脑一旦被利用，Windows驱动程序签名将被强制禁用进而允许恶意驱动程序启动。

Sophos表示，除了继续使用安全软件阻止攻击外目前尚无能够帮助用户阻止自己的PC被利用的办法，因为即使是安装了完整补丁程序的计算机也有可能受到威胁。