[情報] 勒索軟體利用有漏洞的技嘉驅動程式關閉

作者nk11208z (小魯)

看板PC_Shopping

標題[情報] 勒索軟體利用有漏洞的技嘉驅動程式關閉

時間Tue Feb 11 21:05:46 2020

勒索軟體利用有漏洞的技嘉驅動程式關閉電腦防毒軟體遭官方棄用的硬體驅動程式，因含有未修補漏洞，被駭客用來入侵Windows電腦並關閉防毒軟體，以成功安裝勒索軟體，加密用戶檔案勒索金錢文/林妍溱 | 2020-02-11發表安全廠商發現勒索軟體攻擊手法再翻新，一個新種勒索軟體家族，可在電腦安裝合法的硬體驅動程式再關閉電腦防毒軟體，藉此加密用戶檔案勒索金錢，從Windows 7到最新的 Windows 10用戶都可能受害。防毒軟體業者Sophos發現到二隻勒索軟體採用一種離地攻擊（living-off-the land）手法，使用了技嘉電腦已淘汰不用的驅動程式GDrv中，一個編號CVE-2018-19320的漏洞。 CVE-2018-19320也曾經於2018年底被其他資安公司揭露，影響數款主機板或顯卡。技嘉隨後已經棄用這個程式，但漏洞仍然存在。雪上加霜的是，憑證發放機構Verisign並未取消簽發給驅動程式GDrv的憑證，以致於該憑證仍然有效。駭客就利用這些餘毒發動最新一波攻擊。攻擊者利用技嘉有漏洞的驅動程式進入用戶 Windows電腦，暫時關閉Windows內建的驅動程式簽章檢查，以便下載第二個未簽發的驅動程式RBNL.SYS，後者再關閉電腦防毒軟體的行程和檔案，最後安裝名為羅賓漢（ RobbinHood）的勒索軟體，使其如入無人之境，加密用戶檔案進行勒索。安全廠商說，該勒索軟體在植入合法（但有漏洞的）驅動程式後，得以存取Windows核心記憶體、關閉Windows內建的驅動程式簽章檢查、下載惡意驅動程式、從核心記憶體空間終止受害電腦安全防護軟體，如此高明的手法，是他們迄今首見。 Sophos研究人員發現，這種手法在Windows 7、8及10電腦上都能得逞。研究人員建議，除了更新桌機安全軟體、修補任何已知漏洞外，應使用雙因素驗證、限制管理員權限的發派、做好密碼管理，並定期做好資料備份。除了勒索軟體RobbinHood之外，安全專家也曾發現2018年的挖礦軟體WinstarNssmMiner，及去年的Nemty和Snatch也能關閉防毒軟體，或是讓電腦重開機進入安全模式，以迴避防毒偵測。新聞連結:https://reurl.cc/6gra9M -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.160.227.58 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/PC_Shopping/M.1581426349.A.389.html ※ 編輯: nk11208z (1.160.227.58 臺灣), 02/11/2020 21:06:38

推 HwaSIn : 好強的駭客 02/11 21:07

→ wsc47621 : 這跟電壓漏洞同工異曲之妙 02/11 21:09

推 ltyintw : wun10真沒路用 02/11 21:14

→ ltyintw : win10 真沒路用 02/11 21:15

推 cliff2001 : G心叵測 02/11 21:34

推 jerrylin : 技嘉要跌停了嗎 02/11 21:39

→ kondoyu : 幹羅賓漢是劫富濟貧勒索程式會選有錢人發作嗎 02/11 21:42

推 Shigeru777 : 佛心公司 02/11 21:43

推 MK47 : 恐怖= = 02/11 21:43

→ saimeitetsu : 我記得是RGB燈控軟體？ 02/11 21:48

推 dw7931425 : 如果都是從晶片組廠商的網站，或是系統自行安裝的， 02/11 21:49

→ dw7931425 : 應該是不會中。如果是主機板的相關工具，根本是垃圾 02/11 21:49

→ dw7931425 : 無誤 02/11 21:49

推 AerobladeIII: 樓下雞粉護駕 02/11 22:19

推 nok1126 : 勿忘測試福袋 02/11 22:40

→ ultratimes : 技嘉自己應該不可能寫主板或是顯示卡的驅動吧 02/11 22:45

→ ultratimes : 還不都是從人家那邊抓來放自己官網的 02/11 22:45

推 doom3 : 幫你裝有漏洞但官方已棄用的驅動然後鑽漏洞 02/11 22:49

推 Shauter : 開放最愛老二哲學的G粉悲憤 02/11 22:58

推 tuwile : 這驅動有漏洞..安內母湯. 02/11 23:05

→ danbog : 中獎可以找技嘉要求賠償嗎？ 02/11 23:06

推 E6300 : 還有人敢買技嘉? 02/11 23:12

→ huckerbying : 主板或顯示卡有獨特功能的話，還是要由板廠自己寫該 02/11 23:13

→ huckerbying : 功能的驅動 02/11 23:14

→ huckerbying : 不過大多都是信仰氣息燈或是USB快充之類不痛不癢的 02/11 23:17

→ huckerbying : 功能 02/11 23:17

推 thum0809 : 我主機板跟顯卡跟螢幕都是技嘉的耶幹 02/11 23:26

推 jf7642 : rev9.99 02/11 23:40

推 A1pha : 什麼東西的驅動程式也不寫清楚…… 02/11 23:41

推 GYao : 哪個年代的驅動要說清楚R，不然隨便抓個廠商都可以 02/11 23:55

→ GYao : 黑一波 02/11 23:55

推 vincentwg : 抓到 G心叵測 02/11 23:57

推 popbitch : 為什麼憑證沒取消 02/12 06:07

推 ericinttu : 有內鬼停止交易 02/12 06:40

→ quamtum : https://www.cvedetails.com/cve/CVE-2018-19320/ 02/12 06:49

→ quamtum : 有列出程式名稱及版本號碼Aorus Graphics Engine, 02/12 06:50

→ quamtum : App Center, Oc Guru Ii, Xtreme Gaming Engine 02/12 06:50

推 jakai : https://www.ithome.com.tw/news/127777 02/12 08:29

→ jakai : 一年前被發現的漏洞 02/12 08:29

推 GYao : 原來華碩也有 02/12 08:55

推 MrDisgrace : 猜RGB fusion控制RAMRGB的三方dll?新版被拿掉? 02/12 09:11

→ MrDisgrace : 金金RAM更新後忽然不給RGB 現在用官方的app調 02/12 09:13

推 waynechen251: 已經說是棄用的驅動儘早更新吧 02/12 11:10

推 mkzkcfh : 難怪網咖容易被盜 02/14 14:21