باج افزاری که از نصب درایور Gigabyte برای دور زدن محصولات امنیتی استفاده می کند

باج افزاری که از نصب درایور Gigabyte برای دور زدن محصولات امنیتی استفاده می کند

هدف از نصب این درایورها این است که هکرها بتوانند محصولات امنیتی را غیرفعال کنند تا باج افزارشان بتواند فایل ها را رمزگذاری کند بدون اینکه شناسایی یا متوقف شوند.

این باند باج افزار درایورهای آسیب پذیر گیگابایت را بر روی رایانه هایی که می خواهد تحت تاثیر قرار دهند ، نصب می کنند.

طبق اعلام Sophos شرکت امنیت سایبری انگلیس، این تکنیک جدید تاکنون در دو حادثه باج افزار مشاهده شده است.

در هر دو مورد، باج افزار RobbinHood، گونه ای از باج افزار big game بود که معمولاً در حملات هدفمند علیه اهداف انتخاب شده و با ارزش بالا به کار می رود.

در گزارشی که اواخر شب گذشته منتشر شد ، سوفوس این تکنیک جدید را به شرح زیر توصیف کرد:

1- باند باج افزار یک جایگاه در شبکه قربانی پیدا می کند.

2- هکرها هسته درایور قانونی Gigabyte GDRV.SYS را نصب می کنند.

3- هکرها از یک آسیب پذیری این درایور قانونی برای دسترسی به هسته آن استفاده می کنند.

4- مهاجمان از دسترسی هسته برای غیر فعال کردن موقت اجزای درایور signature سیستم عامل ویندوز استفاده می کنند.

5- هکرها یک درایور هسته مخرب به نام RBNL.SYS را نصب می کنند.

6- مهاجمان از این درایور برای غیرفعال کردن آنتی ویروس و سایر محصولات امنیتی در حال اجرا بر روی هاست آسیب پذیر استفاده می کنند.

7- هکرها باج افزار RobbinHood را اجرا کرده و فایل های قربانی را رمزگذاری می کنند.

در Sophos، این تکنیک دور زدن آنتی ویروس روی ویندوزهای 7،8 و 10 کار می کند.

 

درایور Gigabyte در حال اصلاح این شکست مفتضحانه

این تکنیک موفقیت آمیز است زیرا اینکار از طریق آسیب پذیری در درایور Gigabyte انجام می شود.

برای این اتفاق دو شرکت مقصر هستند: ابتدا Gigabyte و سپس Verisign.

نقص Gigabyte به خاطر روش غیر حرفه ای که داشتند به وجود آمده است که به جای تایید این مشکل و انتشار یک پچ، Gigabyte ادعا کرد که محصولات آن نقصی ندارد.

امتناع ورزیدن این شرکت برای تشخیص آسیب پذیری باعث شد که محققانی که این باگ را کشف کردند، جزییاتی درباره این باگ منتشر کنند. این آسیب پذیری به مهاجمان یک مسیری برای سوء استفاده از درایور Gigabyte را می دهد.

هنگامیکه فشار عموم برای اصلاح درایور به این شرکت وارد شد، Gigabyte در عوض انتخاب کرد که به جای انتشار پچ، جلوی تولید این محصول را گرفت.

اما حتی اگر Gigabyte پچی منتشر می کرد باز هم مهاجمان می توانستند که به سادگی از نسخه قدیمی که هنوز آسیب پذیر درایور استفاده کنند.

در این مورد، باید گواهی درایور ابطال شود، بنابراین بارگیری نسخه های قدیمی تر درایور نیز ممکن نیست.

مححقان Sophos توضیح دادند که چرا هنوز ممکن است که درایور مستهلک و آسیب پذیر در ویندوز وجود داشته باشد:

Verisign که از مکانیسم امضای کد برای ثبت دیجیتالی درایور استفاده می کرد، گواهی امضا را باطل نکرده است، بنابراین امضای Authenticode همچنان معتبر است.

اما اگر چیزی در مورد مجرمان سایبری یاد گرفته ایم این است که اکثر آنها کپی کار هستند و از سایر باندهای باج افزار نیز انتظار می رود که این ترفند را نیز در زرادخانه خود بگنجانند و با استفاده از این تکنیک حملات بیشتری انجام دهند.

باند RobbinHood تنها باند باج افزار نیست که از ترفندهای مختلفی برای غیرفعال کردن یا دور زدن محصولات امنیتی استفاده می کند. سایر خانواده هایی که با یک رفتار مشابه درگیر هستند عبارتند از: Snatch (که رایانه ها را در حالت Safe Mode راه اندازی مجدد می کند تا از ابتدا نرم افزار آنتی ویروس را غیر فعال کند) و Nemty (که فرآیند آنتی ویروس را با استفاده از ابزار Taskkill خاموش می کند).

 

منبع: zdnet.com