勒索软件骚操作:直接干掉杀毒软件再进行感染

  • A+
所属分类:资源分享
摘要

大都勒索软件在施行感染前可能就会被安全软件检测到,因此如何规避安全软件检测或查杀是黑客们头疼的问题。

大都勒索软件在实施感染前或许就会被安全软件检测到,因而怎样躲避安全软件检测或查杀是黑客们头疼的问题。

而安全软件的相关进程是无法直接杀死的,基于安全考虑微软授予杀毒软件进程内核级权限可躲避歹意软件操作。

想要杀死安全软件进程同样需求内核等级的权限才可操作,但万万没想到还真有歹意软件成功取得内核级的权限。

这款歹意软件就是RobbinHood Ransomware 勒索软件,该勒索软件成功运用内核级权限将安全软件进程杀死。

勒索软件骚操作:直接干掉杀毒软件再进行感染

怎样取得内核级的操作权限:

为维护操作系统安全微软在内核层面实施特殊的权限控制,安全软件需求取得微软的共同签名才可以取得该权限。

安全软件取得内核级权限后不会被普通进程杀死,普通进程测验杀死内核级进程时会直接提示无权操作导致失败。

而技嘉某个驱动程序由微软共同开发因而具有微软签名,但不幸的是技嘉这款驱动程序存在某个已知的安全漏洞。

进犯者凭借漏洞可以禁用微软驱动程序强制签名功用,禁用后进犯者便可以自定义装置具有内核权限的歹意软件。

取得内核权限后杀死一切安全软件:

RobbinHood Ransomware 勒索软件的开发者成功取得内核权限,然后在被感染的计算机上杀死一切安全进程。

杀死安全进程后就可以不受搅扰的随意操作,包括窃取秘要信息并在完成后将一切文件加密向受害者勒索赎金等。

跟着勒索软件职业的崛起目前进犯者们正在投入更多精力实施进犯,而此次运用技嘉驱动就是个高明的进犯典范。

这种进犯方法绕过端点防护软件的检测可以说是必杀技,而关于绝大大都用户来说这种进犯方法也是防不胜防的。

在此也提醒大家不要执行任何来历不明的软件、远程桌面运用高强度密码以及定时装置微软发布的补丁确保安全。

发表评论

您必须才能发表评论!