[情報] 勒索軟體利用有漏洞的技嘉驅動程式關閉
勒索軟體利用有漏洞的技嘉驅動程式關閉電腦防毒軟體
遭官方棄用的硬體驅動程式,因含有未修補漏洞,被駭客用來入侵Windows電腦並關閉防毒軟體,以成功安裝勒索軟體,加密用戶檔案勒索金錢
文/林妍溱 | 2020-02-11發表
安全廠商發現勒索軟體攻擊手法再翻新,一個新種勒索軟體家族,可在電腦安裝合法的硬體驅動程式再關閉電腦防毒軟體,藉此加密用戶檔案勒索金錢,從Windows 7到最新的
Windows 10用戶都可能受害。
防毒軟體業者Sophos發現到二隻勒索軟體採用一種離地攻擊(living-off-the land)手法,使用了技嘉電腦已淘汰不用的驅動程式GDrv中,一個編號CVE-2018-19320的漏洞。
CVE-2018-19320也曾經於2018年底被其他資安公司揭露,影響數款主機板或顯卡。技嘉隨後已經棄用這個程式,但漏洞仍然存在。
雪上加霜的是,憑證發放機構Verisign並未取消簽發給驅動程式GDrv的憑證,以致於該憑證仍然有效。
駭客就利用這些餘毒發動最新一波攻擊。攻擊者利用技嘉有漏洞的驅動程式進入用戶
Windows電腦,暫時關閉Windows內建的驅動程式簽章檢查,以便下載第二個未簽發的驅動程式RBNL.SYS,後者再關閉電腦防毒軟體的行程和檔案,最後安裝名為羅賓漢(
RobbinHood)的勒索軟體,使其如入無人之境,加密用戶檔案進行勒索。
安全廠商說,該勒索軟體在植入合法(但有漏洞的)驅動程式後,得以存取Windows核心記憶體、關閉Windows內建的驅動程式簽章檢查、下載惡意驅動程式、從核心記憶體空間終止受害電腦安全防護軟體,如此高明的手法,是他們迄今首見。
Sophos研究人員發現,這種手法在Windows 7、8及10電腦上都能得逞。
研究人員建議,除了更新桌機安全軟體、修補任何已知漏洞外,應使用雙因素驗證、限制管理員權限的發派、做好密碼管理,並定期做好資料備份。
除了勒索軟體RobbinHood之外,安全專家也曾發現2018年的挖礦軟體WinstarNssmMiner,及去年的Nemty和Snatch也能關閉防毒軟體,或是讓電腦重開機進入安全模式,以迴避防毒偵測。
新聞連結:https://reurl.cc/6gra9M
--
好強的駭客
這跟電壓漏洞同工異曲之妙
wun10真沒路用
win10 真沒路用
G心叵測
技嘉要跌停了嗎
幹 羅賓漢是劫富濟貧 勒索程式會選有錢人發作嗎
佛心公司
恐怖= =
我記得是RGB燈控軟體?
如果都是從晶片組廠商的網站,或是系統自行安裝的,
應該是不會中。如果是主機板的相關工具,根本是垃圾
無誤
樓下雞粉護駕
勿忘測試福袋
技嘉自己應該不可能寫主板或是顯示卡的驅動吧
還不都是從人家那邊抓來放自己官網的
幫你裝有漏洞但官方已棄用的驅動 然後鑽漏洞
開放最愛老二哲學的G粉悲憤
這驅動有漏洞..安內母湯.
中獎可以找技嘉要求賠償嗎?
還有人敢買技嘉?
主板或顯示卡有獨特功能的話,還是要由板廠自己寫該
功能的驅動
不過大多都是信仰氣息燈或是USB快充之類不痛不癢的
功能
我主機板跟顯卡跟螢幕都是技嘉的耶 幹
rev9.99
什麼東西的驅動程式也不寫清楚……
哪個年代的驅動要說清楚R,不然隨便抓個廠商都可以
黑一波
抓到 G心叵測
為什麼憑證沒取消
有內鬼 停止交易
有列出程式名稱及版本號碼Aorus Graphics Engine,
App Center, Oc Guru Ii, Xtreme Gaming Engine
一年前被發現的漏洞
原來華碩也有
猜RGB fusion控制RAMRGB的三方dll?新版被拿掉?
金金RAM更新後忽然不給RGB 現在用官方的app調
已經說是棄用的驅動 儘早更新吧
難怪網咖容易被盜
32
[情報] 6款Windows 防毒軟體曝「零日」漏洞 !6款Windows 防毒軟體曝「零日」漏洞 !文件恐遭永久刪除 2022/12/12 10:55 文/記者劉惠琴 據外媒 Neowin 報導,微軟Windows作業系統內建的Defender防毒軟體,與資安防毒業者包括Avast、AVG與TrendMicro 各家推出的防毒軟體,被國外SafeBreach 旗下的安全研究人員,揪出藏有嚴重的零日漏洞。 一旦遭駭客濫用發動攻擊,將能取得電腦管理員權限,並導致防毒軟體在偵測惡意文件的運作過程時,因觸發自動移除機制所致,使得移除工具在刪除惡意文件的同時,恐也會無故莫名地對原本系統文件或儲存於PC電腦裝置的一些無害文件、文件夾,觸發執行永久刪除且不可恢復的動作,甚至還可能造成電腦裝置無法正常啟動的狀況。 透過研究人員 Yair 日前公開的概念驗證,經測試11款不同的安全防毒軟體發現,其中,共有6款防毒軟體存有上述的安全漏洞,包括:微軟Defender、微軟 Defender for Endpoint、SentinelOne EDR、趨勢科技TrendMicro Apex One、Avast Antivirus與AVG Antivirus。![[情報] 6款Windows 防毒軟體曝「零日」漏洞 !](https://img.ltn.com.tw/Upload/3c/page/2022/12/12/221212-51716-1.jpg "[情報] 6款Windows 防毒軟體曝「零日」漏洞 !")
29
[原神] 勒索軟體利用原神反作弊關閉防毒軟體-impact-anti-cheat-driver-to-kill-antivirus.html 原文標題: Ransomware Actor Abuses Genshin Impact Anti-Cheat Driver to Kill Antivirus![[原神] 勒索軟體利用原神反作弊關閉防毒軟體](https://www.trendmicro.com/content/dam/trendmicro/global/en/research/22/h/ransomware-actor-abuses-genshin-impact-anti-cheat-driver-to-kill-antivirus/Genshin%20blog%20banner.png "[原神] 勒索軟體利用原神反作弊關閉防毒軟體")
27
[閒聊] 雷蛇被曝0day,滑鼠鍵盤可能成為駭客工具已修改成臺灣習慣用語 原文標題:雷蛇被曝0day,你的滑鼠和鍵盤可能成為駭客工具 一個 Razer Synapse 的 0day 漏洞在 Twitter 上被揭露,該漏洞允許攻擊者 僅僅透過插入 Razer 滑鼠或鍵盤就能獲得 Windows 的系統權限。![[閒聊] 雷蛇被曝0day,滑鼠鍵盤可能成為駭客工具](https://i.imgur.com/B23LIInb.png "[閒聊] 雷蛇被曝0day,滑鼠鍵盤可能成為駭客工具")
18
[情報] 駭客利用8年前的Intel驅動程式漏洞,在Wi駭客利用8年前的Intel驅動程式漏洞,在Windows電腦安裝惡意程式 文/林妍溱 | 2023-01-12發表 安全廠商Crowdstrike發現一個駭客組織利用8年前的Intel驅動程式漏洞繞過防毒軟體檢查安裝惡意程式,攻擊Windows電腦用戶。 研究人員發現名為Scattered Spider(或Roasted 0ktapus或UNC3944)的駭客組織近半年來,持續透過Intel Ethernet診斷驅動程式(iqvw64.sys)中編號CVE-2015-2291的漏洞,在用戶Windows電腦部署惡意的核心驅動程式。 研究人員解釋,這波攻擊是使用近年盛行的BYOVD(Bring Your Own Vulnerable Device)手法。這類手法是因應Windows防堵惡意程式執行的措施而生。自Windows Vista開始,微軟就封鎖未獲簽章的驅動程式執行,並在Windows 10進一步預設封鎖具已知漏洞的驅動程式。這讓駭客衍生出有漏洞或惡意驅動程式獲得合法簽章,藉以在Windows機器上執行。![[情報] 駭客利用8年前的Intel驅動程式漏洞,在Wi](https://s4.itho.me/sites/default/files/field/image/0927-windows_vulner_lou_dong_01_0.jpg "[情報] 駭客利用8年前的Intel驅動程式漏洞,在Wi")
15
[閒聊] 藍白當機、程式閃退!微軟 Windows 11自由 藍白當機、程式閃退!微軟 Windows 11 更新檔傳災情 Windows 11用戶注意了!微軟近日發佈 Windows Update KB5013943 的累積性更新,以修補 存在 Windows 11 系統上的一些錯誤和漏洞。不料,下載安裝該更新檔後,在某些情況下,![[閒聊] 藍白當機、程式閃退!微軟 Windows 11](https://i.imgur.com/tmxQWMab.jpg "[閒聊] 藍白當機、程式閃退!微軟 Windows 11")
15
[情報] Windows 10加入防止核心資料毁損的工具Windows 10加入防止核心資料毁損的工具 文/林妍溱 | 2020-07-10發表 微軟昨(9)日宣布為Windows 10新增安全工具Kernel Data Protection(KDP),防止惡 意程式毁損Windows核心資料。 隨著作業系統加入程式碼完整性(Code Integrity,CI)、控制流程防護(Control![[情報] Windows 10加入防止核心資料毁損的工具](https://s4.itho.me/sites/default/files/field/image/0710-kernel_data_protection.jpg "[情報] Windows 10加入防止核心資料毁損的工具")
7
[情報] 微軟:Windows MSHTML漏洞已有勒索軟體開微軟:Windows MSHTML漏洞已有勒索軟體開採 文/林妍溱 | 2021-09-17發表 在Windows MSHTML漏洞揭露有攻擊活動一個星期後,微軟昨(16)日指出,有跡象顯示歹 徒正在利用這項漏洞,發動勒索軟體攻擊。 微軟於9月7日公布編號CVE-2021-40444的Windows重大漏洞,警告已有開採活動,同時提供![[情報] 微軟:Windows MSHTML漏洞已有勒索軟體開](https://s4.itho.me/sites/default/files/field/image/0917-analyzing_attacks_that_exploit_the_cve-2021-40444_mshtml_vulnerability.jpg "[情報] 微軟:Windows MSHTML漏洞已有勒索軟體開")
5
[情報] 微軟將會強化Win10的驅動程式驗證在昨天的Win10 2004的更新(KB4579311)中,將會強化驅動程式安全驗證手段 在安裝此更新後,驅動程式的Catlog檔案都必須要有PKCS#7數位簽章,來證明驅動程式 發布廠商(包含OEM和裝置製造商)的合法性 如果該驅動程式沒有PKCS#7簽章者將會直接被系統封鎖,所以在安裝此更新後部分用戶可![[情報] 微軟將會強化Win10的驅動程式驗證](https://www.zdnet.com/a/img/resize/4c7335e5487877d7306a66a3d9d719c7e178a616/2020/10/14/9bfbe7ce-4d58-4946-a475-8d723845c73b/istock-1205224487.jpg?auto=webp&fit=crop&height=675&width=1200 "[情報] 微軟將會強化Win10的驅動程式驗證")