安全公司曝光“自帶舊款驅(qū)動”勒索木馬，黑客可“降級”受害者電腦軟件利用已知漏洞提權(quán)

IT之家 8 月 17 日消息，近年來勒索軟件攻擊愈發(fā)猖獗，黑客不斷升級攻擊手段以確保能夠長驅(qū)直入受害者電腦。目前安全公司 Sophos 便報(bào)道有黑客組織 RansomHub 開發(fā)了一種“自帶舊版驅(qū)動”的勒索木馬，該勒索木馬自帶舊版硬件驅(qū)動，在運(yùn)行后即會降級受害者設(shè)備驅(qū)動，從而讓黑客趁虛而入，提高勒索軟件攻擊成功率。

IT之家參考報(bào)告獲悉，黑客組織在今年 5 月利用相關(guān)工具對安全公司 Sophos 發(fā)動了一系列攻擊，黑客首先利用一款名為 EDRKillShifter 的勒索木馬試圖停用 Sophos 的端點(diǎn)防護(hù)程序，但未能成功。

此后黑客便使用了一款自帶舊版驅(qū)動的勒索木馬進(jìn)行“降級式”攻擊（學(xué)名為“自帶驅(qū)動程序攻擊”，Bring Your Own Vulnerable Driver），具體來說，就是黑客將受害者設(shè)備上的驅(qū)動更換為存在漏洞的舊版驅(qū)動程序，再利用驅(qū)動漏洞提權(quán)后進(jìn)行進(jìn)一步操作。

黑客具體攻擊方式如下：

• 黑客將勒索木馬注入至受害者設(shè)備。

• 勒索木馬啟動后將解壓安裝 BIN 驅(qū)動文件

• 一旦驅(qū)動程序安裝完成，黑客將利用驅(qū)動中已知的漏洞提權(quán)。

• 黑客獲得權(quán)限后，便會嘗試停用受害者設(shè)備上的殺軟等服務(wù)，以便在沒有干擾的情況下加密受害者的文件。

安全公司表示，這種“自帶舊版驅(qū)動式”勒索木馬的攻擊手法證明黑客組織在不斷更新他們的工具和技術(shù)以繞過現(xiàn)有的防護(hù)措施，這提醒安全行業(yè)需要時刻保持警惕以應(yīng)對不斷變化的威脅。

相關(guān)閱讀：

《微軟 Win10 / Win11 被曝“降級”零日漏洞：瓦解已裝補(bǔ)丁，重新利用舊漏洞》

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。