2020年2月20日消息:Sophos发现有两宗独立的勒索软件攻击均把台湾著名主机板厂商Gigabyte旗下既合法,也经数字签署,只是存有漏洞且已被淘汰的硬件驱动程序植入到目标电脑的Windows核心内存,从而关闭系统中端点安全产品的程序和删除软件档案,以便启动名为RobbinHood (罗宾汉) 的勒索软件。攻击分析还发现,从Windows 7、8到最新的Windows 10用户都有机会受害。这是Sophos首次观察到有黑客以这种策略,将未获签署的恶意驱动程序下载到受害人的电脑。
Sophos工程部总监Mark Loman指出:“RobbinHood这个勒索软件以存有漏洞的第三方驱动程序搭配恶意驱动程序来发动攻击,目的只有一个,就是消除系统的防御措施。相关的恶意程序由以摧毁系统为目标的编码所构成。因此,即使运行Windows的电脑已全面更新修补程序,没有任何已知的漏洞,第三方的驱动程序还是会为黑客提供漏洞,以此先行摧毁用户的防线,从而使勒索软件得逞。”
他更强调:“我们对这两宗勒索软件攻击的分析反映出,威胁持续演变的速度和危险程度是如此让人惊讶。这是Sophos首次观察到有勒索软件自行引入经合法签署但有漏洞的第三方驱动程序,并借其关闭安装了的安全软件功能,同时绕过特别为防止这类篡改行动而设计的防护功能。黑客以这种手段将安全措施赶尽杀绝,使恶意程序能够肆意安装且执行勒索软件,不会受到任何干扰。”
Gigabyte已淘汰了早在2018年便被揭露内含一个编号为CVE-2018-19320的漏洞的驱动程序。虽然该公司已不再采用这款驱动程序,但它仍然在市场中为人所用,从而构成威胁,使原本作了全面修补更新的电脑也因这种黑客“自携”的漏洞而陷入危机。
面对这种狡诈、高明的入侵手段如何自保?Sophos建议采取三重措施,以尽量减少成为被攻击对象的风险:
- 施行能够摧毁整个攻击链的风险防护
现今的勒索软件攻击会同时运用多种技术和手段,只靠单一种技术来作防御,将使系统变得相当脆弱。必须部署一系列技术,务求在攻击的不同阶段进行阻截。此外,还应把公共云纳入自身系统安全策略的考虑范围之内。
- 贯彻稳健的安全实践
这包括:
- 多种认证 (MFA)
- 使用复杂的密码,并利用密码管理软件来管理
- 限制存取权——仅给予用户与管理人员他们所需的存取权
- 定期备份,并将副本作异地储存及保持离线,确保攻击者不能触及。
- 如无用就关闭远端桌面通讯协定 (RDP),或改用速率限制 (Rate Limiting) 、双重认证 (2FA) 和虚拟私有网络 (VPN)
- 确保篡改保护功能保持运作,因为其他勒索软件品种都会试图关闭端点防护,而篡改保护功能正是用来防止这种情况发生。
- 持续员工教育
毫无疑问,人本身就是网络安全中最弱的一环,而网络罪犯则是利用一般人类行为来达成邪恶目的的专家。因此,企业须不断投资在员工的网络安全培训上。