網(wǎng)絡(luò)安全公司Sophos于近日發(fā)文稱，該公司旗下研究安全團(tuán)隊(duì)日前發(fā)現(xiàn)了一種此前從未被公開披露過的勒索軟件，并將其命名為“RobbinHood”。

文章指出，這種新型勒索軟件不僅能夠加密受感染計(jì)算機(jī)上的文件，而且還能夠通過殺死相關(guān)進(jìn)程以及刪除相關(guān)文件來終止殺毒軟件的運(yùn)行，從而達(dá)到繞過安全檢測的目的。

圖1.RobbinHood勒索軟件贖金票據(jù)示例

以老舊漏洞CVE-2018-19320作為入侵突破口

根據(jù)Sophos研究人員的說法，整個(gè)RobbinHood攻擊鏈?zhǔn)菑睦靡粋€(gè)老舊的驅(qū)動程序漏洞CVE-2018-19320開始的。一旦利用成功，攻擊者便能夠向目標(biāo)設(shè)備部署第二個(gè)驅(qū)動程序(未簽名的惡意驅(qū)動程序)。

值得一提的是，CVE-2018-19320是一個(gè)存在于已簽名的合法驅(qū)動程序上的漏洞，且在該驅(qū)動程序被棄用時(shí)并沒有被修復(fù)。

圖2.驅(qū)動程序的sha1RSA Authenticode簽名于2013年10月17日到期

RobbinHood如何攻破Windows防御？

被用于終止殺毒軟件運(yùn)行的模塊由嵌入在STEEL.EXE中的幾個(gè)文件組成，所有文件均被提取到C:WINDOWSTEMP：

• STEEL.EXE—負(fù)責(zé)使用未簽名的惡意驅(qū)動程序殺死并刪除與殺毒軟件相關(guān)的進(jìn)程及文件；
• ROBNR.EXE—負(fù)責(zé)安裝存在漏洞的已簽名驅(qū)動程序，以及利用CVE-2018-19320來加載未簽名的惡意驅(qū)動程序；
• GDRV.SYS—存在漏洞的已簽名驅(qū)動程序；
• RBNL.SYS—未簽名的惡意驅(qū)動程序；
• PLIST.TXT—一個(gè)文本文件，其中包含將要終止其運(yùn)行的目標(biāo)應(yīng)用程序的名稱。

殺死并刪除與殺毒軟件相關(guān)的進(jìn)程及文件的整個(gè)過程如下：

第一步，STEEL.EXE部署ROBNR.EXE。

第二步，ROBNR.EXE安裝未簽名的惡意驅(qū)動程序RBNL.SYS。

第三步，在RBNL.SYS安裝完成后，STEEL.EXE就會讀取PLIST.TXT，以指示RBNL.SYS刪除在PLIST.TXT中列出的所有應(yīng)用程序并殺死相關(guān)進(jìn)程。如果該進(jìn)程作為服務(wù)運(yùn)行，那么該服務(wù)將不會再自行重新啟動，因?yàn)橄嚓P(guān)文件已經(jīng)被刪除。

圖3.惡意驅(qū)動程序啟動

圖4.惡意驅(qū)動程序處理來自STEEL.EXE的命令

圖5.惡意驅(qū)動程序能夠使用多種方式刪除文件

圖6.惡意驅(qū)動程序殺死目標(biāo)進(jìn)程

最后，STEEL.EXE在完成上述工作并退出后，RobbinHood勒索軟件的加密模塊便會執(zhí)行，肆無忌憚地加密不再受殺毒軟件保護(hù)的文件。

結(jié)語

盡管如今能夠通過殺死相關(guān)進(jìn)程以及刪除相關(guān)文件來干掉殺毒軟件的勒索軟件并不在少數(shù)，但RobbinHood的出現(xiàn)卻告訴了我們，即使是及時(shí)通過安裝補(bǔ)丁修復(fù)了漏洞，仍然有可能被黑客所攻破，因?yàn)樗麄兿胍玫穆┒赐耆梢杂伤麄冏约簬怼?

那么，我們?nèi)绾尾拍茏畲蟪潭鹊亟档捅还テ频娘L(fēng)險(xiǎn)呢？首先，使用多重身份驗(yàn)證(MFA)；其次，限制訪問權(quán)限，即僅向他人授予他們所需的訪問權(quán)限；再次，定期備份并使用非聯(lián)網(wǎng)設(shè)備保存它們；最后，關(guān)閉遠(yuǎn)程桌面服務(wù)(RDP)，建議使用VPN。

總結(jié)

以上是生活随笔為你收集整理的如何看exe文件源代码_杀进程、删文件...看新型勒索软件RobbinHood如何干掉杀毒软件...的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。