หน้าแรก Security Hacker แรนซั่มแวร์ Robinhood ใช้ช่องโหว่บนไดรเวอร์กำจัดแอนติไวรัสเพื่อเข้าไปล็อกไฟล์

แรนซั่มแวร์ Robinhood ใช้ช่องโหว่บนไดรเวอร์กำจัดแอนติไวรัสเพื่อเข้าไปล็อกไฟล์

แบ่งปัน

นักวิจัยค้นพบแรนซั่มแวร์ตระกูลใหม่ชื่อ “Robinhood” ที่ใช้ไดรเวอร์ที่มีลายเซ็นดิจิตอลถูกต้องน่าเชื่อถือ (แต่มีช่องโหว่) ในการข้ามระบบป้องกัน โดยกำจัดไฟล์ที่เกี่ยวข้องกับผลิตภัณฑ์ด้านความปลอดภัยสำหรับเอนด์พอยต์

ทำให้ข้ามระบบป้องกันและซอฟต์แวร์แอนติไวรัสที่มีอยู่ไปเข้ารหัสไฟล์ซิสเต็มได้ เรียกเทคนิคที่ผู้โจมตีใช้นี้ว่า Living off the Land และไดรเวอร์ที่มีช่องโหว่ที่ถูกใช้ประโยชน์ครั้งนี้เป็นของ Gigabyte เป็นช่องโหว่ภายใต้รหัส CVE-2018-19320

เทคนิคนี้เป็นการใช้ฟีเจอร์บนระบบปฏิบัติการ หรือทูลแอดมินบนเครือข่ายที่ถูกต้อง หรือแม้แต่ไดรเวอร์ในการเจาะเครือข่ายของเหยื่อ สำหรับการโจมตีนี้ มีการใช้ไดรเวอร์ของ Gigabyte ในการโหลดไดรเวอร์ที่ไม่มีลายเซ็นอีกทีหนึ่ง

ลงมาติดตั้งบนวินโดวส์ได้โดยก้าวข้ามระบบความปลอดภัยที่มีอยู่ พร้อมกับปิดโปรเซสของซอฟต์แวร์ความปลอดภัยไปพร้อมกัน ทางนักวิจัยจาก Sophos ระบุว่าครั้งนี้เป็นครั้งแรกที่เห็นแรนซั่มแวร์ใช้วิธีผ่านไดรเวอร์แบบนี้

ที่มา : GBHackers