Эксперты из британской компании Sophos рассказали об интересной тактике, которую применяют операторы шифровальщика RobbinHood. Чтобы отключить защитные решения, малварь устанавливает на целевые машины уязвимые драйверы Gigabyte. По словам специалистов, такие атаки работают против Windows 7, Windows 8 и Windows 10.
В своем отчете исследователи описывают тактику вымогателей следующим образом:
- хакеры проникают в сеть компании-жертвы;
- устанавливают легитимный драйвер ядра Gigabyte GDRV.SYS;
- используют уязвимость в этом драйвере для получения доступа к ядру;
- доступ к ядру используется для временного отключения принудительного использования подписи драйверов в Windows;
- устанавливается вредоносный драйвер ядра RBNL.SYS, который используется для отключения или остановки антивирусных и прочих защитных продуктов, работающих на зараженном хосте;
- запускается вымогатель RobbinHood и шифрует файлы жертвы.
Исследователи объясняют, что винить в том, что подобная тактика вообще работает и приносит плоды, нужно компании Gigabyte и Verisign. Дело в том, что, узнав о баге, разработчики Gigabyte вообще отказались признавать проблему и заявили, что их продукция уязвимости не подвержена. В итоге специалисты, обнаружившие баг, опубликовали технические подробности о проблеме, наряду с PoC-эксплоитом для ее эксплуатации. Увы, даже после этого инженеры Gigabyte предпочти не исправить уязвимость, выпустив патч, а вообще прекратить поддержку и разработку проблемного драйвера.
Кроме того, компания Verisign, чей механизм подписи кода использовался для цифровой подписи драйвера, не отозвала сертификат , поэтому подпись Authenticode по-прежнему остается действительной. Из-за этого до сих пор возможно загрузить устаревший и заведомо уязвимый драйвер в Windows.