랜섬웨어, 안티 바이러스 제품을 죽이기 위해 기가 바이트 드라이버 설치
RobbinHood 랜섬웨어는 중단없이 파일을 암호화 할 수 있도록 새로운 기술을 배포합니다.
랜섬웨어 갱이 감염하려는 컴퓨터에 취약한 GIGABYTE 드라이버를 설치하고 있습니다. 이러한 드라이버의 목적은 해커가 보안 제품을 비활성화하여 랜섬웨어 변종이 탐지되거나 중지되지 않고 파일을 암호화 할 수 있도록하는 것입니다.
영국의 사이버 보안 회사 인 소포스 (Sophos)에 따르면이 새로운 기술은 지금까지 두 번의 랜섬웨어 사건에서 발견되었습니다.
두 경우 모두, 랜섬웨어는 RobbinHood [ 1 , 2 ]로, "고가의"랜섬웨어 변종으로, 일반적으로 선택된 고가의 대상에 대한 표적 공격에 사용됩니다.
지난 밤 늦게 발표 된 보고서에서 Sophos는이 새로운 기술 을 다음과 같이 설명했습니다 .
랜섬웨어 갱은 피해자의 네트워크에 발판을 마련합니다.
해커는 합법적 인 Gigabyte 커널 드라이버 GDRV.SYS를 설치합니다.
해커는이 합법적 인 드라이버의 취약점을 악용하여 커널 액세스 권한을 얻습니다.
공격자는 커널 액세스를 사용하여 Windows OS 드라이버 서명 적용을 일시적으로 비활성화합니다.
해커는 RBNL.SYS라는 악성 커널 드라이버를 설치합니다.
공격자는이 드라이버를 사용하여 감염된 호스트에서 실행중인 바이러스 백신 및 기타 보안 제품을 비활성화하거나 중지합니다.
해커는 RobbinHood 랜섬웨어를 실행하고 피해자의 파일을 암호화합니다.
소포스 당이 바이러스 방지 우회 기술은 Windows 7, Windows 8 및 Windows 10에서 작동합니다.
기가 바이트 드라이버 패치
이 기술은 기가 바이트 드라이버의 취약성이 처리 된 방식으로 인해 성공하여 해커가 악용 할 수있는 허점을 남깁니다.
이 혼란에 대해 두 명의 당사자 (즉, Gigabyte, Verisign)가 잘못되었습니다.
Gigabyte의 결함은 영향을받는 드라이버에 대한 취약성 보고서를 다루는 비전문적 인 방식으로 존재합니다. 문제를 인정하고 패치를 공개하는 대신 Gigabyte는 자사 제품이 영향을받지 않았다고 주장했습니다.
이 취약점에 대한 회사의 철저한 거부로 인해 버그를 발견 한 연구자들은이 버그에 대한 공개 세부 정보를 게시하고 개념 증명 코드와 함께 취약점을 재현했습니다. 이 공개 개념 증명 코드는 공격자에게 기가 바이트 드라이버를 악용하는 로드맵을 제공했습니다.
회사가 드라이버를 고치라는 압력을 가했을 때 Gigabyte는 대신 패치를 발표하지 않고 중단하기로 결정했습니다.
그러나 Gigabyte가 패치를 발표하더라도 공격자들은 이전의 여전히 취약한 버전의 드라이버를 사용했을 수 있습니다. 이 경우 드라이버의 서명 인증서가 해지되었으므로 드라이버의 이전 버전도로드 할 수 없습니다.
소포스 연구원은 "코드 서명 메커니즘이 드라이버에 디지털 서명을하는 데 사용 된 Verisign은 서명 인증서를 해지하지 않았기 때문에 Authenticode 서명은 여전히 유효하다"고 말했다. Windows 내부의 취약한 드라이버.
그러나 사이버 범죄자에 대해 배운 것이 있다면 대부분은 복제 고양이이며 다른 랜섬웨어 갱도이 기술을 무기고에 포함시켜이 기술을 사용하여 더 많은 공격을 유발할 수 있습니다.
RobbinHood는 다양한 트릭을 사용하여 보안 제품을 비활성화하거나 우회하는 유일한 랜섬웨어 갱은 아닙니다. 유사한 동작에 관여하는 다른 변종으로는 Snatch (AV 소프트웨어가 시작되지 않도록 안전 모드에서 PC를 재부팅 함) 및 Nemty (taskkill 유틸리티를 사용하여 바이러스 백신 프로세스를 종료 함)가 있습니다.