网络安全公司Sophos于近日发文称,该公司旗下研究安全团队日前发现了一种此前从未被公开披露过的勒索软件,并将其命名为“RobbinHood”。

文章指出,这种新型勒索软件不仅能够加密受感染计算机上的文件,而且还能够通过杀死相关进程以及删除相关文件来终止杀毒软件的运行,从而达到绕过安全检测的目的。

图1.RobbinHood勒索软件赎金票据示例

以老旧漏洞CVE-2018-19320作为入侵突破口

根据Sophos研究人员的说法,整个RobbinHood攻击链是从利用一个老旧的驱动程序漏洞CVE-2018-19320开始的。一旦利用成功,攻击者便能够向目标设备部署第二个驱动程序(未签名的恶意驱动程序)。

值得一提的是,CVE-2018-19320是一个存在于已签名的合法驱动程序上的漏洞,且在该驱动程序被弃用时并没有被修复。

图2.驱动程序的sha1RSA Authenticode签名于2013年10月17日到期

RobbinHood如何攻破Windows防御?

被用于终止杀毒软件运行的模块由嵌入在STEEL.EXE中的几个文件组成,所有文件均被提取到C:WINDOWSTEMP:

  • STEEL.EXE—负责使用未签名的恶意驱动程序杀死并删除与杀毒软件相关的进程及文件;
  • ROBNR.EXE—负责安装存在漏洞的已签名驱动程序,以及利用CVE-2018-19320来加载未签名的恶意驱动程序;
  • GDRV.SYS—存在漏洞的已签名驱动程序;
  • RBNL.SYS—未签名的恶意驱动程序;
  • PLIST.TXT—一个文本文件,其中包含将要终止其运行的目标应用程序的名称。

杀死并删除与杀毒软件相关的进程及文件的整个过程如下:

第一步,STEEL.EXE部署ROBNR.EXE。

第二步,ROBNR.EXE安装未签名的恶意驱动程序RBNL.SYS。

第三步,在RBNL.SYS安装完成后,STEEL.EXE就会读取PLIST.TXT,以指示RBNL.SYS删除在PLIST.TXT中列出的所有应用程序并杀死相关进程。如果该进程作为服务运行,那么该服务将不会再自行重新启动,因为相关文件已经被删除。

图3.恶意驱动程序启动

图4.恶意驱动程序处理来自STEEL.EXE的命令

图5.恶意驱动程序能够使用多种方式删除文件

图6.恶意驱动程序杀死目标进程

最后,STEEL.EXE在完成上述工作并退出后,RobbinHood勒索软件的加密模块便会执行,肆无忌惮地加密不再受杀毒软件保护的文件。

结语

尽管如今能够通过杀死相关进程以及删除相关文件来干掉杀毒软件的勒索软件并不在少数,但RobbinHood的出现却告诉了我们,即使是及时通过安装补丁修复了漏洞,仍然有可能被黑客所攻破,因为他们想要利用的漏洞完全可以由他们自己带来。

那么,我们如何才能最大程度地降低被攻破的风险呢?首先,使用多重身份验证(MFA);其次,限制访问权限,即仅向他人授予他们所需的访问权限;再次,定期备份并使用非联网设备保存它们;最后,关闭远程桌面服务(RDP),建议使用VPN。

如何看exe文件源代码_杀进程、删文件...看新型勒索软件RobbinHood如何干掉杀毒软件...相关推荐

  1. 中有冒号 文件路径_用Matlab脚本文件实现Excel文件的合并

    日常吐槽 前段时间跟同事聊天,同事洗脑了一个新的(扎心的)世界观,"人生分三个阶段,20岁时承认父母很平庸,30岁时承认自己很平庸,40岁时承认孩子很平庸".这是这位同事在孩子学而 ...

  2. java 文件 剪切_总结java中文件拷贝剪切的5种方式-JAVA IO基础总结第五篇

    本文是Java IO总结系列篇的第5篇,前篇的访问地址如下: 很多朋友在看我的<java IO总结系列>之前觉得创建文件.文件夹删除文件这些基础操作真的是太简单了.但看了我的文章之后,有小 ...

  3. MFC_选择目录对话框_选择文件对话框_指定目录遍历文件

    选择目录对话框 void C资源共享吧视频广告清理工具Dlg::OnBnClickedCls() {// 清空编辑框内容m_Edit.SetWindowTextW(L"");m_E ...

  4. 查看文件(或文件夹)被哪个进程使用-文件已在另一程序中打开

    提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 前言 步骤 前言 windows系统中当我们在删除某个文件或文件夹时有时会提示该文件有程序在使用不能被删除,这时相当惆怅.那 ...

  5. add多个文件 git 文件夹_利用 git 提取文件夹下多个特定文件里的内容写到特定文件内...

    有些时候我们需要将一个或多个文件夹内的特定文件里的内容读写到指定的文件内,如果是一个一个文件复制速度太慢,这时我们可以利用git来操作. 首先打开我们需要读取的文件的上级文件夹,在空白处右击选择[Gi ...

  6. cfile清空文件内容_电脑C盘文件夹哪些可以删除?教你如何快速清理,旧电脑还能用3年...

    电脑用久了,便会越来越卡顿,不少电脑卡顿的原因就在于C盘快满了.今天小编所说的就是教大家如何快速删除这些文件夹,释放我们的电脑空间,从而保证我们电脑的流畅性.下面我们就一起来看看,哪些文件夹可以删除吧 ...

  7. 怎样用python批量处理文件夹_套娃式文件夹如何通过Python批量处理

    前言 在我对项目组的一些训练图像进行预处理的时候,发现处理的图像是分好了类,在文件夹里的文件夹里,套娃式存储的,所以对我批处理,以及按原文件夹规则进行存储的时候,就会造成很大困扰 但通过下面几个函数的 ...

  8. python读写文件操作_详解Python文件读写操作

    读文件 打开文件(文件需要存在)#打开文件 f = open("data.txt","r") #设置文件对象 print(f)#文件句柄 f.close() # ...

  9. Clover 驱动文件夹_黑苹果(clover文件夹中各个文件的主要功能)

    我们现在都应该知道了Clover中EFI文件夹的重要性了吧,而这个文件夹下又有好多文件它们都是做什么的呢,让我们来学习一下吧. EFI/MICROSOFT: 如果是双系统,这个文件夹下面就是Windo ...

最新文章

  1. python通过DictReader实现两个csv文件的映射查找lookup之代码详解
  2. 如何验证本地磁盘或网络磁盘是否可以进行读写操作
  3. 力扣--扁平化嵌套列表迭代器
  4. mysqldump单个库导出_初相识 | 全方位认识 sys 系统库
  5. ssh(Spring+Spring mvc+hibernate)——DeptController.java
  6. 流浪汉转型程序员,年薪超 70 万人民币!
  7. 整理一些计算机基础知识!
  8. 人工智能中的深度结构学习 Learning deep architectures for AI - Yoshua Bengio
  9. 前端项目如何做测试?
  10. python 导入数据集并画图_python matplotlib画图教程学习:(三)IRIS数据集作图
  11. 批量word转pdf
  12. 思维导图的种类及应用,思维导图教程
  13. 读入一句话(一行文本),统计26个大写字母各自出现的次数。(java)
  14. 数据结构:新冠病毒检测
  15. navicat导入excel表中数据出错问题
  16. python统计重复的数_python统计一个文本中重复行数的方法
  17. 模板方法模式---榨汁机
  18. 图表色彩运用原理的全面解析
  19. BT面板静态文件镜像库v7.1.0
  20. java 24字母_java 时间格式化中的模式字母

热门文章

  1. tableau实战系列(三十九)-教你如何优雅的做图表展示-南丁格尔玫瑰图
  2. tensorflow从入门到精通100讲(二)-IRIS数据集应用实战
  3. 在Tableau中去除选择高亮效果
  4. Python入门100题 | 第024题
  5. 时序数据-LSTM模型-实现用电量预测
  6. 【LInux】16_软件管理源码包管理
  7. LeetCode-剑指 Offer 18. 删除链表的节点
  8. LeetCode-链表-面试题 02.07. 链表相交
  9. spring-security-oauth2注解详解
  10. Java 实现 SSH 协议的客户端登录认证方式--转载