首例！「羅賓漢」勒索軟體借Gigabyte舊驅動程式「謀殺」安全軟體

Sophos 發現兩起獨立的勒索軟體攻擊，鎖定台灣著名主機板廠商技嘉 (Gigabyte) 旗下合法且經數位簽章，但存有漏洞並已淘汰的硬體驅動程式植入到目標電腦的 Windows 核心記憶體，以求關閉系統中的端點安全產品和刪除軟體檔案，然後啟動名為 RobbinHood (羅賓漢) 的勒索軟體。攻擊分析還發現，無論是 Windows 7、8 到最新的 Windows 10 電腦都有可能受害。這是 Sophos 首次觀察這種駭客手法，將經簽署的惡意驅動程式下載到受害者電腦。

Sophos 工程總監 Mark Loman 指出：「RobbinHood 勒索軟體以存有漏洞的第三方驅動程式搭配惡意驅動程式來發動攻擊。目的只有一個，就是使系統的防禦措施停擺，然後再由相關的惡意程式接手。因此，即使 Windows 電腦已全面更新且沒有任何已知漏洞，第三方驅動程式還是會為駭客提供後門，讓他們破壞電腦上的防線後再讓勒索軟體得逞。」

他更強調：「從對這兩起勒索軟體攻擊的分析可知，威脅持續演變的速度和危險程度令人驚訝。這是 Sophos 首次觀察到有勒索軟體自行引入經合法簽署但有漏洞的第三方驅動程式，並藉其停用已安裝的安全軟體，同時繞過專為防範竄改行為而設計的防護功能。這種手法能讓駭客躲過所有安全措施，使惡意程式長驅直入且執行勒索軟體，不會受到任何阻擋。」

該 Gigabyte 已淘汰驅動程式內含編號CVE-2018-19320的漏洞 (早在 2018 年便被揭露)。雖然該公司已不再採用這個驅動程式，但它仍然存在坊間流傳而成為一種威脅，即使是已經全面更新的電腦也因這種駭客「自帶」的漏洞而陷入危機。

在面對這種狡猾、高明的入侵手段時應該如何自保？Sophos建議使用者採取三重措施，以盡量減少成為受害者的風險：

1. 採用能夠摧毀整個攻擊鏈的風險防護

現今的勒索軟體攻擊會同時利用多種技術和手段，所以只靠單一技術來防禦是不夠的，因為系統仍然相當脆弱。相反的，您必須部署一系列技術，務求在攻擊的不同階段進行攔截。此外，您亦應把公用雲納入自身系統安全的範圍。

2. 落實健全的安全作法

包括：

• 使用多重認證 (MFA)

• 使用複雜的密碼，並利用密碼管理軟體來進行管理

• 限制存取權—僅給予使用者與管理者必要的存取權限

• 定期備份，並將副本進行異地儲存及保持離線，確保攻擊者不會觸及。

• 不需要時關閉遠端桌面通訊協定 (RDP)，又或改用速率限制 (Rate Limiting) 、雙重認證 (2FA) 和虛擬私有網路 (VPN)

• 確保竄改防護的功能運作正常，因勒索軟體大都會試圖停用您的端點防護，竄改防護功能正是為此而設計

3. 持續教育員工

毫無疑問，人員本身就是網路安全中最弱的一環，而網路罪犯分子則是利用一般人類行為來遂行目的的專家。因此，企業須不斷投資在員工的網路安全培訓上。

欲知該攻擊手法的詳細資訊，請參閱SohosLabs Uncut的最新報告《Living off another land: Ransomware borrows vulnerable driver to remove security software》。

關於Sophos

Sophos 是新一代網路安全的世界領導廠商，為全球 150 個國家近  400,000 家不同規模的機構防禦現今最先進的網路安全威脅。Sophos 具備人工智慧的雲端原生解決方案以全球威脅情報與資料科學團隊 SophosLabs 作為後盾，保護筆記型電腦、伺服器和行動裝置等端點以及網絡，抵禦網路罪犯不斷演變的策略及手法，包括自動和主動攻擊、勒索軟體、惡意軟體、漏洞利用、資料外洩、釣魚郵件等。屢獲殊榮的 Sophos Central 雲端平台可將 Sopho 旗下 Intercept X 端點方案到 XG Firewall 等頂級的產品組合，結合成單一系統 Synchronized Security。Sophos 產品透過由 53,000 多家合作夥伴與託管式服務供應商 (MSP) 所組成的全球通路網路供應。Sophos 亦透過 Sophos Home 為消費者提供創新的商用技術。Sophos  總部設於英國牛津，並於倫敦股票交易所上市，代號 SOPH。如需更多資訊，請瀏覽 www.sophos.com。