الأربعاء ، 1 أبريل ، 11:19
منزل أمن تقوم Ransomware بتثبيت برنامج تشغيل Gigabyte "لقتل" برامج مكافحة الفيروسات

يقوم Ransomware بتثبيت برنامج تشغيل Gigabyte بـ "قتل" برامج مكافحة الفيروسات

تقوم عصابة الفدية بتثبيت برامج تشغيل GIGABYTE الضعيفة على أجهزة الكمبيوتر التي تريد أن تصيبها. الغرض من برامج التشغيل هذه هو السماح للمتسللين بتعطيلها منتجات الأمن، بحيث يمكن تنفيذ رانسومواري القابل للتنفيذ تشفير الملفات دون الكشف عنها أو إيقافها.

تم اكتشاف هذه التقنية الأصلية الجديدة في حلقتين من رانسومواري حتى الآن ، وفقًا لسوفوس.

في كلتا الحالتين ، كانت Ransinware Ransomware ، سلالة Ransomware "لعبة كبيرة" شائعة الاستخدام في المستهدفة هجمات ضد الأهداف المحددة ذات القيمة العالية.

في تقرير تم نشره ، يصف Sophos هذه التقنية الجديدة كما يلي:

  • يقوم قراصنة بتثبيت برنامج GDRV.SYS لبرنامج Gigabyte kernel الشرعي.
  • يستغل المتسللون ثغرة أمنية في برنامج التشغيل هذا للوصول إلى النواة.
  • يستخدم المهاجمون وصول kernel لتعطيل برنامج تطبيق توقيع برنامج تشغيل Windows OS مؤقتًا.
  • يقوم المتسللون بتثبيت برنامج تشغيل kernel ضار يسمى RBNL.SYS.
  • يستخدم المهاجمون برنامج التشغيل هذا لتعطيل أو إيقاف برامج مكافحة الفيروسات ومنتجات الأمان الأخرى التي تعمل على مضيف مصاب.
  • يقوم المتسللون بتنفيذ Ransinware RobbinHood وتشفير ملفات الضحية.

سوفوس تقارير هذه التقنية الالتفافية الحماية من الفيروسات يعمل على Windows 7 و Windows 8 و Windows 10.

الفدية

هذه التقنية ناجحة بسبب الطريقة التي يتم بها التعامل مع برنامج تشغيل Gigabyte ، مما يترك فجوة يمكن أن يستغلها السائقون. قراصنة.

يتحمل طرفان المسؤولية عن هذا الإحباط - الأول غيغابايت ، ثم فيريساين.

يكمن خطأ Gigabyte في الطريقة غير الاحترافية التي تعاملت بها مع تقرير الضعف لبرنامج التشغيل المتأثر. بدلاً من إدراك المشكلة وإصدار تصحيح ، ادعت Gigabyte أن منتجاتها لم تتأثر.

رفض الشركة العلني للاعتراف بالضعف أدى الباحثون الذين وجدوا الخطأ إلى نشر التفاصيل العامة للخطأ ، إلى جانب رمز إثبات المفهوم لاستنساخه. حساسية. أعطى نشر الكود للمهاجمين خريطة طريق لاستغلال سائق Gigabyte.

عندما تم الضغط على الشركة لإصلاح برنامج التشغيل ، اختارت Gigabyte إيقاف التشغيل بدلاً من تحرير التصحيح.

ولكن حتى لو أصدر Gigabyte رقعة ، فيمكن للمهاجمين ببساطة استخدام إصدار أقدم ضعيف من برنامج التشغيل. في هذه الحالة ، يجب إلغاء شهادة توقيع برنامج التشغيل ، بحيث يتعذر تحميل الشهادات القديمة المنشورات السائق.

وقال باحثو سوفوس: "Verisign ، التي استخدمت آلية توقيع الكود عليها للتوقيع رقمياً على برنامج التشغيل ، لم تلغ شهادة التوقيع ، لذلك يظل توقيع Authenticode ساري المفعول" ، موضحًا سبب استمرار التحميل حتى اليوم. سائق إزالة والمعروفة ، الضعيفة في الداخل Windows.

ولكن إذا سمعنا عن مجرمي الإنترنت ، فإن معظمهم يقومون بنسخ التقنيات الناجحة ، لذا من المتوقع أن تدمج عصابات الفدية الأخرى هذه الخدعة في ترساناتهم ، مما يؤدي إلى المزيد هجمات.

Teo Ehc
Teo Ehchttps://www.secnews.gr
كن الإصدار المحدود.

اترك الإجابة

الرجاء إدخال تعليقك!
الرجاء إدخال اسمك هنا

أخبار مباشرة

Grammarly متاح الآن في Microsoft Word لنظام التشغيل Mac

أخبار سارة لجميع مستخدمي Mac ، حيث أعلنت شركة التكنولوجيا الأوكرانية Grammarly أن ...

ماريوت: خرق البيانات الجديد يؤثر على 5,2 مليون زائر

كشفت سلسلة فنادق ماريوت أمس عن خرق جديد للبيانات أثر على أكثر من 5,2 مليون زائر ...

Microsoft Edge - مراقب كلمة المرور: تنبيه عند سرقة كلمات المرور الخاصة بك

تقدم Microsoft Edge خدمة جديدة تسمى "مراقب كلمة المرور". ستخطر هذه الخدمة ...

Face ID: كيفية استخدامه أثناء ارتداء قناع الوجه

يعد جهاز Face ID من Apple رائعًا للتعرف على الوجوه بفضل نظام True Depth ، والذي ...

Canonical: يجلب أدوات Ubuntu Linux الجديدة ويدعم Raspberry Pi

مع إصدار Ubuntu 19.10 ، أعلنت Canonical عن خارطة الطريق الرسمية لأجهزة كمبيوتر Raspberry Pi أحادية اللوحة. راسبيري باي لا يدعم ...

العمل من المنزل: تجنب هذه الأخطاء التسعة

مع انتشار Covid-19 ، يفضل معظم السكان العمل من المنزل. العمل من المنزل يحتاج ...

ستقوم فورد ببناء 50,000،100 جهاز تنفس في المائة يوم القادمة

يوم الاثنين ، قالت شركة فورد أنها ستبني 50.000 جهاز تنفس على مدى 100 يوم بدءًا من 20 أبريل ...

"العدوى": أبطال الفيلم يتحدثون عن COVID-19!

تعاون أبطال فيلم "العدوى" مع علماء من كلية الصحة العامة بجامعة كولومبيا في المشاركة في إعلانات الخدمات الصحية حول ...

حرية الوصول إلى السحابة على أجهزة الكمبيوتر الكمومية D-Wave

أعلنت الشركة الكندية Quantum Computer D-Wave اليوم أنها تمنح وصولاً مجانيًا للأشخاص المعنيين ...

Airbnb: خصصت 250 مليون دولار لمضيفي التتويج

أعلنت شركة Airbnb أنها ستنفق ما مجموعه 250 مليون دولار في محاولة لدعم مضيفيها حول العالم ، ...