登录
注册
文章
往日文章
往日投票
皮肤
蓝色
橙色
绿色
浅绿色
分类:
首页
Linux
科学
科技
移动
苹果
硬件
软件
安全
游戏
书籍
idle
云计算
关注我们:
solidot新版网站常见问题,请点击
这里
查看。
消息
本文已被查看 7309 次
勒索软件安装合法 Gigabyte 驱动去关闭安全软件
WinterIsComing
(31822)发表于 2020年02月08日 15时45分 星期六
新浪微博分享
来自
安全公司 Sophos
报告
,勒索软件 RobbinHood 正采用一种新颖的方法防止其在被感染设备上加密文件的操作
被杀毒软件阻止
。攻击者首先在受害者的网络内获得立足之地,然后安装合法的 Gigabyte 内核驱动 GDRV.SYS,这个驱动存在漏洞,攻击者能利用漏洞获得内核访问权限,利用内核访问权限攻击者临时禁用了 Windows OS 的驱动签名强制,之后安装恶意内核驱动 RBNL.SYS,使用这个驱动关闭杀毒软件或其它设备上运行的安全产品,执行 RobbinHood 加密文件。