حمله‌ی باج‌افزار رابین‌هود به مادربردهای گیگابایت با قابلیت از کار انداختن آنتی‌ویروس

حمله‌ی باج‌افزار رابین‌هود به مادربردهای گیگابایت با قابلیت از کار انداختن آنتی‌ویروس

تاریخ ایجاد

محققان امنیتی، یک حفره‌ی امنیتی در درایورهای مادربرد گیگابایت شناسایی کردند که می‌تواند منجر به آلوده‌شدن سیستم کاربر به باج افزاری به نام رابین‌هود شود.
این حفره‌ی امنیتی که با شناسه‌ی "CVE-2018-19320" به‌ثبت رسیده است، در یک درایور سطح هسته‌ی گیگابایت به نام "gdrv.sys" نهفته است که به مهاجم، امکان دسترسی به مجوزهای ممنوعه را می‌دهد.
به‌طور معمول، فرایندهای امنیتی ویندوز فقط توسط درایورهای هسته ازکار می‌افتند. به‌منظور جلوگیری از سوءاستفاده از درایورهای هسته، مایکروسافت یک مکانیسم تأیید امضای درایور را پیاده‌سازی کرده است که فقط درایورهای هسته با هماهنگی مایکروسافت قابل نصب هستند.
اما اکنون مهاجمان، یک درایور آسیب‌پذیر شناخته‌شده‌ی گیگابایت را نصب کرده و از یک آسیب‌پذیری شناخته‌شده برای غیرفعال‌کردن ویژگی اجرای امضای درایور مایکروسافت سوءاستفاده کردند.
گیگابایت استفاده از این درایور را کنار گذاشته اما هنوز بر روی هزاران رایانه یافت می‌شود و تهدیدی برای کاربران آن‌ها است. متأسفانه امضای دیجیتال این درایور هنوز باطل نشده است و ویندوز همچنان اجازه‌ی نصب آن‌را می‌دهد.
در حملات انجام‌شده، مهاجم از طریق این درایور آسیب‌پذیری گیگابایت، یک درایور دیگر را به سیستم تزریق می‌کند که قادر به از کار انداختن محصولات امنیتی، عبور از لایه‌های امنیتی ویندوز و نصب باج‌افزار رابین‌هود است.
اپراتورهای رابین‌هود در حملات خود طبق مراحل زیر عمل می‌کنند:

  • نفوذ به شبکه شرکت هدف،
  • نصب درایور مشروع Gigabyte GDRV.SYS،
  • بهره‌برداری از آسیب‌پذیری درایور فوق جهت دسترسی به هسته،
  • سوءاستفاده از این دسترسی برای غیرفعال‌سازی موقت امضای دیجیتال درایور در ویندوز،
  • استفاده از درایور مخرب هسته RBNL.SYS جهت غیرفعال‌سازی یا متوقف‌کردن آنتی‌ویروس‌های میزبان آلوده،
  • راه‌اندازی باج افزار رابین‌هود و رمزنگاری فایل‌های قربانی.

قربانیان این باج‌افزار باید برای رمزگشایی فایل‌های خود مبلغی بپردازند و اگر از پرداخت خودداری کنند، مبلغ باج روزانه 10 هزار دلار بالا می‌رود.
محققان معتقدند که راهی برای کمک به کاربران و جلوگیری از این حمله در سیستم‌های دارای ویندوز 7، 8 و 10 وجود ندارد و کاربران باید همچنان از نرم‌افزارهای امنیتی خود برای جلوگیری از حملات استفاده کنند.

برچسب‌ها