“梦之想网络安全护航者”

tomato固件 杀进程_魅蓝note2 杀进程_杀进程

网络安全公司Sophos于近日发文称,该公司旗下研究安全团队日前发现了一种此前从未被公开披露过的勒索软件,并将其命名为“RobbinHood”。

文章指出,这种新型勒索软件不仅能够加密受感染计算机上的文件,而且还能够通过杀死相关进程以及删除相关文件来终止杀毒软件的运行,从而达到绕过安全检测的目的。

魅蓝note2 杀进程_tomato固件 杀进程_杀进程

图1.RobbinHood勒索软件赎金票据示例

以老旧漏洞CVE-2018-19320作为入侵突破口

根据Sophos研究人员的说法,整个RobbinHood攻击链是从利用一个老旧的驱动程序漏洞CVE-2018-19320开始的。一旦利用成功,攻击者便能够向目标设备部署第二个驱动程序(未签名的恶意驱动程序)。

值得一提的是,CVE-2018-19320是一个存在于已签名的合法驱动程序上的漏洞杀进程,且在该驱动程序被弃用时并没有被修复。

图2.驱动程序的sha1RSA Authenticode签名于2013年10月17日到期

RobbinHood如何攻破Windows防御?

被用于终止杀毒软件运行的模块由嵌入在STEEL.EXE中的几个文件组成,所有文件均被提取到C:WINDOWSTEMP:

杀死并删除与杀毒软件相关的进程及文件的整个过程如下:

第一步,STEEL.EXE部署ROBNR.EXE。

tomato固件 杀进程_杀进程_魅蓝note2 杀进程

第二步,ROBNR.EXE安装未签名的恶意驱动程序RBNL.SYS。

第三步,在RBNL.SYS安装完成后,STEEL.EXE就会读取PLIST.TXT,以指示RBNL.SYS删除在PLIST.TXT中列出的所有应用程序并杀死相关进程。如果该进程作为服务运行,那么该服务将不会再自行重新启动,因为相关文件已经被删除。

tomato固件 杀进程_杀进程_魅蓝note2 杀进程

tomato固件 杀进程_杀进程_魅蓝note2 杀进程

图3.恶意驱动程序启动

魅蓝note2 杀进程_杀进程_tomato固件 杀进程

图4.恶意驱动程序处理来自STEEL.EXE的命令

tomato固件 杀进程_杀进程_魅蓝note2 杀进程

图5.恶意驱动程序能够使用多种方式删除文件

魅蓝note2 杀进程_杀进程_tomato固件 杀进程

图6.恶意驱动程序杀死目标进程

最后,STEEL.EXE在完成上述工作并退出后,RobbinHood勒索软件的加密模块便会执行,肆无忌惮地加密不再受杀毒软件保护的文件。

结语

尽管如今能够通过杀死相关进程以及删除相关文件来干掉杀毒软件的勒索软件并不在少数,但RobbinHood的出现却告诉了我们,即使是及时通过安装补丁修复了漏洞,仍然有可能被黑客所攻破杀进程,因为他们想要利用的漏洞完全可以由他们自己带来。

那么,我们如何才能最大程度地降低被攻破的风险呢?首先,使用多重身份验证(MFA);其次,限制访问权限,即仅向他人授予他们所需的访问权限;再次,定期备份并使用非联网设备保存它们;最后,关闭远程桌面服务(RDP),建议使用VPN。