MSI 驱动漏洞在新的 BlackByte 攻击中被利用 媒体
BlackByte 勒索病毒利用 MSI 驱动漏洞进行攻击
关键要点
BlackByte 勒索病毒团伙开始利用 MSI Afterburner 中的 RTCore64sys 驱动漏洞CVE201916098进行 BYOVD 攻击。该漏洞的利用使得黑客能够轻松访问 I/O 控制代码,从而在内核内存中进行代码读取、写入和执行。BlackByte 在 AppDataRoaming 中部署 RTCore64sys,以创建带有硬编码显示名称的新服务。研究人员发现,该团伙还在监控 Avon、Windows DbgHelp 库、Comodo Internet Security 和 Sandboxie 的 DLL 挂钩,以规避检测。BlackByte 勒索病毒集团近期利用 MSI Afterburner 的 RTCore64sys 驱动程序漏洞CVE201916098发起了一种称为“自带易受攻击驱动程序”BYOVD的攻击。根据 BleepingComputer 的报道,利用这一 MSI 图形驱动程序的漏洞使得攻击者能够轻松访问 I/O 控制代码,这可以用于在内核内存中进行代码的读取、写入和执行,甚至不需利用其他漏洞或 shellcode。
免费加速器instagram经过对内核版本进行侦测,以及确定相应的偏移量,BlackByte 能够顺利地在 AppDataRoaming 文件夹内部署 RTCore64sys,从而创建具有硬编码显示名称的新服务。报告显示,该漏洞还被用来删除内核通知例程,同时获取的回调地址与 1000 个被针对的驱动程序进行比较。
研究人员补充,BlackByte 还在监控 Avast、Windows DbgHelp 库、Comodo Internet Security 和 Sandboxie 的 DLL 挂钩,以躲避检测。这一发现与 Lazarus 近期对戴尔驱动的攻击 采用的类似 BYOVD 方法相呼应。
相关链接
文章链接BleepingComputerBlackByte 勒索病毒的报告Lazarus 攻击近期对戴尔驱动的攻击这种新兴的攻击手法展示了网络安全中遗留驱动程序漏洞所带来的巨大风险,提醒我们在使用第三方驱动时务必小心谨慎。