账号:
密码:
最新动态
产业快讯
CTIMES/SmartAuto / 新闻 /
Sophos阻止合法数位凭证签章恶意驱动程式的勒索软体攻击
 

【CTIMES / SMARTAUTO ABC_1 报导】    2022年12月16日 星期五

浏览人次:【2280】

Sophos今日揭露在经由合法数位凭证签章的多个驱动程式中发现恶意程式码。最新报告《已签章的恶意驱动程式在软体信任链中向上移动》详细介绍了这个调查结果。在本次勒索软体攻击中,攻击者使用了一个取得Microsoft合法Windows Hardware Compatibility Publisher数位凭证签章的恶意驱动程式。

该恶意驱动程式专门锁定主要端点侦测和回应(EDR)软体套件使用的处理程序,并由和Cuba勒索软体附属组织有关的恶意软体进行安装。该集团动作频频,过去一年成功攻击了全球一百多家公司。Sophos Rapid Response成功阻止了这次攻击,调查成果还促成了Sophos和Microsoft之间的全面合作,以采取行动并解决威胁。

这些驱动程式可以在系统上执行高权限的作业。例如,核心模式驱动程式可以终止许多类型的软体,包括安全软体。控制哪些驱动程式可以载入是保护电脑防范此类攻击的一种方法。Windows要求驱动程式在允许载入之前需先取得加密签章一个「核准签章」。

但是,并非所有用来签署驱动程式的数位凭证都受到同等的信任。一些被窃并外泄到网际网路上的数位签章凭证後来都被滥用於签章恶意软体;甚至还有其他凭证已经被不法的PUA软体发行商购买和使用。

在勒索软体攻击期间,Sophos对破坏端点安全工具的恶意驱动程式的调查显示,恶意份子一直群策群力,逐步从不太常见的信任数位凭证转移到更广泛受到信任的数位凭证。

Sophos威胁研究资深经理Christopher Budd表示:「这些攻击者很可能就是Cuba勒索软体组织的分支,他们知道自己在做什麽,而且很顽固。我们总共发现了10个恶意驱动程式,都是最初版本的变种。这些驱动程式显示骇客群策群力想要提高在信任链的地位,最旧的驱动程式至少可以追溯到今年7月。我们发现的最旧凭证是由不知名的中国公司签发的;然後骇客继续推进,使用一个外流但已经被撤销的NVIDIA凭证来签署驱动程式。现在,他们使用的是Microsoft的凭证。Microsoft是Windows生态系统中最受信任的权威机构之一。用公司安全来比喻,攻击者基本上已经取得有效的公司ID,可以毫无疑问地进入大楼并为所欲为。」

仔细检视勒索软体在攻击中使用的可执行档,可以发现恶意签章的驱动程式是经由载入程式BURNTCIGAR的变种下载到目标系统。BURNTCIGAR是一种已知与Cuba勒索软体组织有关的恶意软体。

一旦载入程式将驱动程式下载到系统上,主要的端点安全和EDR软体套件常用的186个不同程式档名都会触发它,然後尝试终止这些处理程序。如果顺利终止,攻击者接着就会部署勒索软体。

Budd补充表示:「到2022年,我们看到越来越多勒索软体攻击者试图绕过许多,甚至是大多数主要厂商的EDR产品。最常见的技术称为『自带驱动程式』,就是BlackByte最近使用的技术,攻击者会利用合法驱动程式中的现有漏洞。从头开始设计一个恶意驱动程式,并让其取得合法机构签章要困难得多。不过一旦成功,那将无往不利,因为驱动程式基本上可以毫无疑问地执行任何处理程序。以这个特定的驱动程式为例,几??所有EDR软体都躲不过攻击;幸运的是,Sophos的额外防窜改保护将它挡了下来。安全社群需要警觉到这种威胁,在必要时采取额外的安全措施,例如持续监控;更重要的是,我们可能会看到其他攻击者试图模仿这种类型的攻击。」

關鍵字: Sophos 
相关新闻
Sophos宣布新任总裁暨代理执行长
「全球网路安全日」重要性今胜於昔
Sophos:许多勒索软体集团蓄意发动远端加密攻击
Sophos:勒索软体集团利用媒体美化形象
Sophos:预期将出现使用AI的攻击技术并做好侦测准备
comments powered by Disqus
相关讨论
  相关文章
» SiC MOSFET:意法半导体克服产业挑战的颠覆性技术
» 超越MEMS迎接真正挑战 意法半导体的边缘AI永续发展策略
» 光通讯成长态势明确 讯号完整性一测定江山
» 分众显示与其控制技术
» 新一代Microchip MCU韧体开发套件 : MCC Melody简介


刊登廣告 新聞信箱 读者信箱 著作權聲明 隱私權聲明 本站介紹

Copyright ©1999-2024 远播信息股份有限公司版权所有 Powered by O3  v3.20.1.HK8BOE3HLZUSTACUK3
地址:台北数位产业园区(digiBlock Taipei) 103台北市大同区承德路三段287-2号A栋204室
电话 (02)2585-5526 #0 转接至总机 /  E-Mail: webmaster@ctimes.com.tw