Παρασκευή, 5 Ιουνίου, 13:32
Αρχική security Ransomware εγκαθιστά τον Gigabyte driver για να "σκοτώσει" τα antivirus

Ransomware εγκαθιστά τον Gigabyte driver για να “σκοτώσει” τα antivirus

Μια συμμορία ransomware εγκαθιστά ευπαθείς drivers GIGABYTE σε υπολογιστές που θέλει να μολύνει. Ο σκοπός αυτών των drivers είναι να επιτρέψουν στους hackers να απενεργοποιήσουν τα προϊόντα ασφαλείας, έτσι ώστε το στέλεχος ransomware τους να μπορεί να κρυπτογραφήσει αρχεία χωρίς να εντοπιστεί ή να σταματήσει.

Αυτή η νέα πρωτότυπη τεχνική έχει εντοπιστεί σε δύο επεισόδια ransomware μέχρι στιγμής, σύμφωνα με την εταιρεία Sophos.

Και στις δύο περιπτώσεις, το ransomware ήταν RobbinHood, ένα στέλεχος ransomware “μεγάλου παιχνιδιού” που χρησιμοποιείται συνήθως σε στοχευμένες επιθέσεις εναντίον επιλεγμένων στόχων υψηλής αξίας.

Σε μια έκθεση που δημοσιεύθηκε, η Sophos περιγράφει αυτή τη νέα τεχνική ως εξής:

  • Οι hackers εγκαθιστούν το νόμιμο πρόγραμμα Gigabyte kernel driver GDRV.SYS.
  • Οι hackers εκμεταλλεύονται μια ευπάθεια σε αυτό τον driver για να αποκτήσουν πρόσβαση στον πυρήνα.
  • Οι επιτιθέμενοι χρησιμοποιούν την πρόσβαση του πυρήνα για να απενεργοποιήσουν προσωρινά το πρόγραμμα «driver signature enforcement» των Windows OS.
  • Οι hackers εγκαθιστούν ένα κακόβουλο πρόγραμμα kernel driver που ονομάζεται RBNL.SYS.
  • Οι επιτιθέμενοι χρησιμοποιούν αυτό το πρόγραμμα driver για να απενεργοποιήσουν ή να σταματήσουν antivirus προγράμματα και άλλα προϊόντα ασφαλείας που εκτελούνται σε μολυσμένο κεντρικό host.
  • Οι hackers εκτελούν το ransomware RobbinHood και κρυπτογραφούν τα αρχεία του θύματος.

Η Sophos αναφέρει ότι αυτή η τεχνική παράκαμψης antivirus λειτουργεί στα Windows 7, Windows 8 και Windows 10.

ransomware

Αυτή η τεχνική είναι επιτυχημένη λόγω του τρόπου χειρισμού της ευπάθειας στον driver Gigabyte, αφήνοντας ένα κενό που μπορούν να εκμεταλλευτούν οι hackers.

Για αυτήν την απογοήτευση, δύο μέρη ευθύνονται – πρώτα την Gigabyte, και στη συνέχεια το Verisign.

Το σφάλμα του Gigabyte έγκειται στον αντιεπαγγελματικό τρόπο με τον οποίο αντιμετώπισε την αναφορά ευπάθειας για τον πληγέντα driver. Αντί να αναγνωρίσει το πρόβλημα και να απελευθερώσει ένα patch, η Gigabyte ισχυρίστηκε ότι τα προϊόντα της δεν επηρεάστηκαν.

Η απροκάλυπτη άρνηση της εταιρείας να αναγνωρίσει την ευπάθεια οδήγησε τους ερευνητές που βρήκαν το σφάλμα να δημοσιεύσουν δημόσιες λεπτομέρειες σχετικά με αυτό το σφάλμα, μαζί με τον κώδικα proof-of-concept για την αναπαραγωγή της ευπάθειας. Η δημοσίευση του κώδικα έδωσε στους επιτιθέμενους έναν χάρτη πορείας για την εκμετάλλευση του Gigabyte driver.

Όταν δημόσια πίεση ασκήθηκε στην εταιρεία για να διορθώσει τον driver, η Gigabyte επέλεξε να διακόψει την λειτουργία του, αντί να απελευθερώσει ένα patch.

Αλλά ακόμα κι αν η Gigabyte είχε κυκλοφορήσει μια ενημερωμένη έκδοση κώδικα, οι επιτιθέμενοι θα μπορούσαν απλώς να χρησιμοποιήσουν μια παλιότερη ευάλωτη έκδοση του driver. Σε αυτήν την περίπτωση, το signing certificate του driver θα έπρεπε να έχει ανακληθεί, οπότε δεν θα ήταν δυνατή η φόρτωση των παλαιότερων εκδόσεων του driver.

“Η Verisign, της οποίας ο μηχανισμός υπογραφής κώδικα χρησιμοποιήθηκε για την ψηφιακή υπογραφή του οδηγού, δεν έχει ανακαλέσει το πιστοποιητικό υπογραφής, οπότε η υπογραφή Authenticode παραμένει έγκυρη”, ανέφεραν οι ερευνητές της Sophos, εξηγώντας γιατί εξακολουθούσε να είναι δυνατή σήμερα η φόρτωση εώς τώρα ενός καταργημένου και γνωστού, ευάλωτου driver μέσα στα Windows.

Αλλά αν μάθαμε κάτι για τους εγκληματίες στον κυβερνοχώρο είναι ότι οι περισσότεροι από αυτούς αντιγράφουν τις επιτυχημένες τεχνικές άρα και άλλες συμμορίες ransomware αναμένεται να ενσωματώσουν αυτό το τέχνασμα στα οπλοστάσια τους, οδηγώντας σε περισσότερες επιθέσεις.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

LIVE NEWS

Κίνα και Ιράν προσπάθησαν να χακάρουν τις εκστρατείες Biden και Trump

Η Κίνα και το Ιράν προσπάθησαν να χακάρουν τις προεκλογικές εκστρατείες τόσο του Biden όσο και του Trump.

Gaia-X: η νέα πλατφόρμα cloud computing της Ευρώπης

Φαίνεται ότι η Ευρώπη αποφάσισε να απαλλαγεί από την Αμερική σε ότι αφορά τις υπηρεσίες cloud computing, δημιουργώντας το «Gaia-X».

CPA Canada: Παραβίαση δεδομένων επηρεάζει 329,000 άτομα

Ο οργανισμός Chartered Professional Accountants of Canada (CPA) αποκάλυψε ότι το site CPA Canada παραβιάστηκε από hackers,...

Η τεχνολογία με τον τρόπο που έχει σχεδιαστεί διαιωνίζει τον ρατσισμό

Σήμερα οι Ηνωμένες Πολιτείες καταρρέουν κάτω από το βάρος δύο πανδημιών: τον COVID -19 και την αστυνομική βαρβαρότητα. Και οι δύο προκαλούν...

Tycoon ransomware: Σε κίνδυνο Windows και Linux υπολογιστές!

Ένα νέο ransomware, που ανακαλύφθηκε πρόσφατα, στοχεύει συστήματα Windows και Linux. Το ransomware ονομάζεται Tycoon και είναι...

Τα νέα iPad Pro της Apple με σύνδεση 5G, A14X τσιπ και Mini-LED οθόνη!

Η Apple πρόκειται να κυκλοφορήσει νέα μοντέλα iPad Pro με το Α14Χ τσιπ, σύνδεση 5G, και οθόνη Mini-LED στο πρώτο μισό του...

Cisco: Σφάλματα σε IOS router επιτρέπουν πλήρη παραβίαση συστημάτων

Η Cisco αποκάλυψε τέσσερα κρίσιμα σφάλματα ασφαλείας που επηρεάζουν τον εξοπλισμό των router που χρησιμοποιούν τα IOS XE και IOS λογισμικά της....

Linux Greenie: Κυκλοφόρησε η έκδοση 20.04 με νέο desktop

Το Greenie Linux, είναι ένα λειτουργικό σύστημα βασισμένο στο ubuntu, το οποίο κατασκευάστηκε ειδικά για χρήστες που...

Zoom: Σφάλματα επιτρέπουν την παραβίαση συστημάτων συμμετεχόντων!

Ερευνητές ασφαλείας από την Cisco Talos ανακάλυψαν δύο σφάλματα στη δημοφιλή εφαρμογή τηλεδιάσκεψης Zoom, τα οποία μπορούν να επιτρέψουν σε έναν κακόβουλο...

Η ανίχνευση του “Incognito mode” δεν έχει διορθωθεί ακόμη από τον Chrome

Τα website εξακολουθούν να είναι σε θέση να εντοπίζουν πότε ένας επισκέπτης χρησιμοποιεί τη λειτουργία Incognito mode του Chrome, παρά τις προσπάθειες...