8 月 17 日消息,近年來勒索軟件攻擊愈發(fā)猖獗,,黑客不斷升級(jí)攻擊手段以確保能夠長驅(qū)直入受害者電腦,。目前安全公司 Sophos 便報(bào)道有黑客組織 RansomHub 開發(fā)了一種“自帶舊版驅(qū)動(dòng)”的勒索木馬,該勒索木馬自帶舊版硬件驅(qū)動(dòng),在運(yùn)行后即會(huì)降級(jí)受害者設(shè)備驅(qū)動(dòng),從而讓黑客趁虛而入,提高勒索軟件攻擊成功率,。
參考報(bào)告獲悉,黑客組織在今年 5 月利用相關(guān)工具對(duì)安全公司 Sophos 發(fā)動(dòng)了一系列攻擊,,黑客首先利用一款名為 EDRKillShifter 的勒索木馬試圖停用 Sophos 的端點(diǎn)防護(hù)程序,,但未能成功。
此后黑客便使用了一款自帶舊版驅(qū)動(dòng)的勒索木馬進(jìn)行“降級(jí)式”攻擊(學(xué)名為“自帶驅(qū)動(dòng)程序攻擊”,,Bring Your Own Vulnerable Driver),,具體來說,,就是黑客將受害者設(shè)備上的驅(qū)動(dòng)更換為存在漏洞的舊版驅(qū)動(dòng)程序,再利用驅(qū)動(dòng)漏洞提權(quán)后進(jìn)行進(jìn)一步操作,。
黑客具體攻擊方式如下:
· 黑客將勒索木馬注入至受害者設(shè)備,。
· 勒索木馬啟動(dòng)后將解壓安裝 BIN 驅(qū)動(dòng)文件
· 一旦驅(qū)動(dòng)程序安裝完成,黑客將利用驅(qū)動(dòng)中已知的漏洞提權(quán),。
· 黑客獲得權(quán)限后,,便會(huì)嘗試停用受害者設(shè)備上的殺軟等服務(wù),以便在沒有干擾的情況下加密受害者的文件,。
安全公司表示,,這種“自帶舊版驅(qū)動(dòng)式”勒索木馬的攻擊手法證明黑客組織在不斷更新他們的工具和技術(shù)以繞過現(xiàn)有的防護(hù)措施,這提醒安全行業(yè)需要時(shí)刻保持警惕以應(yīng)對(duì)不斷變化的威脅,。