Эксперты из британской компании Sophos
https://news.sophos.com/en-us/2020/0...rity-software/ об интересной тактике, которую применяют операторы шифровальщика RobbinHood. Чтобы отключить защитные решения, малварь устанавливает на целевые машины уязвимые драйверы Gigabyte. По словам специалистов, такие атаки работают против Windows 7, Windows 8 и Windows 10.
В своем отчете исследователи описывают тактику вымогателей следующим образом:
хакеры проникают в сеть компании-жертвы;
устанавливают легитимный драйвер ядра Gigabyte GDRV.SYS;
используют уязвимость в этом драйвере для получения доступа к ядру;
доступ к ядру используется для временного отключения принудительного использования подписи драйверов в Windows;
устанавливается вредоносный драйвер ядра RBNL.SYS, который используется для отключения или остановки антивирусных и прочих защитных продуктов, работающих на зараженном хосте;
запускается вымогатель RobbinHood и шифрует файлы жертвы.
Исследователи объясняют, что винить в том, что подобная тактика вообще работает и приносит плоды, нужно компании Gigabyte и Verisign. Дело в том, что, узнав о баге, разработчики Gigabyte вообще отказались признавать проблему и заявили, что их продукция уязвимости не подвержена. В итоге специалисты, обнаружившие баг,
https://www.secureauth.com/labs/advi...ulnerabilities технические подробности о проблеме, наряду с PoC-эксплоитом для ее эксплуатации. Увы, даже после этого инженеры Gigabyte предпочти не исправить уязвимость, выпустив патч, а вообще прекратить поддержку и разработку проблемного драйвера.
Кроме того, компания Verisign, чей механизм подписи кода использовался для цифровой подписи драйвера, не отозвала сертификат , поэтому подпись Authenticode по-прежнему остается действительной. Из-за этого до сих пор возможно загрузить устаревший и заведомо уязвимый драйвер в Windows.