这些年来,黑客变得越来越狡猾,现在,他们发现了一种新的方法,攻击者能够禁用用户的反病毒解决方案。一旦防病毒解决方案被禁用,这就是真正的损害开始的地方。

黑客发现并使用一种新方法来绕过防病毒解决方案

根据故事由万博体育登录首页雷达技术,威胁行为者发现了一种新方法,他们能够禁用用户的反病毒解决方案。除了反病毒,他们还可以禁用其他端点保护工具。

据报道,他们使用的方法越来越受欢迎。来自Sophos的网络安全研究人员分享了这种方法的工作原理。

该漏洞方法为CVE-2019-16098

据网络安全研究人员称,这种方法被广泛称为“自带易受攻击的司机”方法。研究人员警告说,这种方法不仅有效,而且对全球企业来说也非常危险。

该公司的研究发现,勒索软件运营商BlackByte滥用了这一漏洞。该漏洞被跟踪为cve - 2019 - 16098据报道,在Micro-Star的MSI加力4.6.2.15658(称为RTCore64)使用的驱动器中发现了该漏洞。和RTCore32.sys。

BlackByte被发现使用方法禁用超过1000个驱动程序

加力是一款用于GPU超频的实用程序,它可以让用户更好地控制他们所使用的特定硬件。该漏洞通过授予经过身份验证的用户对任意内存的读写权限来工作。

这可能导致特权升级、数据窃取和代码执行。这种方法能够帮助BlackByte禁用超过1000个需要与安全产品一起运行的驱动程序。

Sophos给出了组织如何保护自己免受这种方法的提示

Sophos发布了一篇博客文章,指出合法司机很有可能继续被滥用,以绕过不同的安全产品。Sophos还提供了保护用户免受这种新攻击方法的建议。

网络安全研究人员建议IT管理员将“特定的MSI驱动程序添加到活动屏蔽列表”,以确保它们不会在终端上运行。还指出,观察设备上安装的所有驱动程序是很重要的。

读也:优步黑客:前安全主管向公众隐瞒了2016年的入侵事件

拉撒路集团被发现使用这种技术来攻击戴尔万博体育登录首页

用户还被敦促定期审计端点,以寻找可能在硬件方面没有匹配的不同流氓注入。虽然自带易受攻击的司机可能不是什么新方法,但它正开始迅速流行起来。

拉撒路集团最近被观察到使用这种特殊技术来攻击戴尔。万博体育登录首页ESET网络安全研究人员也看到这种特殊的方法被用于针对航空航天领域的专家和记者。

用户被盯上的另一种方式是亚马逊提供虚假工作。虚假的职位描述将通过pdf文件发送,而这些pdf文件实际上是易受攻击的戴尔驱动程序。

相关文章:检测到新的Android恶意软件:RatMilad间谍软件可以窃取数据和读取对话

本文归科技时报所有万博体育登录首页

作者:Urian B。

corber2万博体育登录首页022 TECHTIMES.com未经允许,请勿转载。