《電子技術應用》
您所在的位置:首頁 > 其他 > 業(yè)界動態(tài) > 安全公司曝光自帶舊款驅(qū)動勒索木馬

安全公司曝光自帶舊款驅(qū)動勒索木馬

黑客可“降級”受害者電腦軟件利用已知漏洞提權
2024-08-19
來源:IT之家

8 月 17 日消息,近年來勒索軟件攻擊愈發(fā)猖獗,黑客不斷升級攻擊手段以確保能夠長驅(qū)直入受害者電腦。目前安全公司 Sophos 便報道有黑客組織 RansomHub 開發(fā)了一種“自帶舊版驅(qū)動”的勒索木馬,該勒索木馬自帶舊版硬件驅(qū)動,在運行后即會降級受害者設備驅(qū)動,從而讓黑客趁虛而入,提高勒索軟件攻擊成功率。

參考報告獲悉,黑客組織在今年 5 月利用相關工具對安全公司 Sophos 發(fā)動了一系列攻擊,黑客首先利用一款名為 EDRKillShifter 的勒索木馬試圖停用 Sophos 的端點防護程序,但未能成功。

此后黑客便使用了一款自帶舊版驅(qū)動的勒索木馬進行“降級式”攻擊(學名為“自帶驅(qū)動程序攻擊”,Bring Your Own Vulnerable Driver),具體來說,就是黑客將受害者設備上的驅(qū)動更換為存在漏洞的舊版驅(qū)動程序,再利用驅(qū)動漏洞提權后進行進一步操作。

0.png

黑客具體攻擊方式如下:

· 黑客將勒索木馬注入至受害者設備。

· 勒索木馬啟動后將解壓安裝 BIN 驅(qū)動文件

· 一旦驅(qū)動程序安裝完成,黑客將利用驅(qū)動中已知的漏洞提權。

· 黑客獲得權限后,便會嘗試停用受害者設備上的殺軟等服務,以便在沒有干擾的情況下加密受害者的文件。

安全公司表示,這種“自帶舊版驅(qū)動式”勒索木馬的攻擊手法證明黑客組織在不斷更新他們的工具和技術以繞過現(xiàn)有的防護措施,這提醒安全行業(yè)需要時刻保持警惕以應對不斷變化的威脅。


Magazine.Subscription.jpg

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權歸版權所有權人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權者。如涉及作品內(nèi)容、版權和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。