注意！黑客現可利用Windows驅動程序漏洞關閉殺毒軟件

2月8日消息 安全公司Sophos近日警告稱，新型勒索軟件目前已可以通過攻擊技嘉驅動程序來入侵Windows係統並通過部署第二個驅動程序來禁用正在運行的殺毒軟件。

該勒索軟件利用的是2018年在技嘉驅動程序中發現的安全漏洞，技嘉（Gigabyte）已確認該BUG的存在，後者允許惡意攻擊者利用此漏洞來嚐試訪問設備並部署，目的是阻斷殺毒軟件等常規安全軟件對PC的保護。該安全漏洞在CVE-2018-19320中有詳細說明。

Sophos表示：“第二個驅動程序會阻斷安全軟件的進程和文件，繞過篡改保護，使勒索軟件能夠不受幹擾地對用戶電腦進行攻擊”，“這是我們第一次觀察到有勒索軟件通過利用擁有微軟聯合簽名的第三方驅動程序來修改內核文件進而達到加載自己未簽名的惡意驅動程序，並從內核中刪除安全應用程序的目的。”

惡意驅動程序

黑客使用的勒索軟件為RobbinHood，受害者必須通過付款的方式以解鎖文件。贖金記錄顯示，如果受害者不付款的話，贖金額度就會以10,000美元/天的速度上升。

被利用的技嘉gdrv.sys驅動程序的可執行文件被稱為Steel.exe，它在Windows臨時文件夾中提取一個名為ROBNR.EXE的文件，該文件提取了兩個不同的驅動程序，一個是技嘉開發的（易受攻擊的驅動程序），和另一個用於在受感染設備上禁用防病毒軟件的軟件。受害者電腦一旦被利用，Windows驅動程序簽名將被強製禁用進而允許惡意驅動程序啟動。

Sophos表示，除了繼續使用安全軟件阻止攻擊外目前尚無能夠幫助用戶阻止自己的PC被利用的辦法，因為即使是安裝了完整補丁程序的計算機也有可能受到威脅。