網絡安全公司Sophos于近日發文稱，該公司旗下研究安全團隊日前發現了一種此前從未被公開披露過的勒索軟件，并將其命名為“RobbinHood”。

文章指出，這種新型勒索軟件不僅能夠加密受感染計算機上的文件，而且還能夠通過殺死相關進程以及刪除相關文件來終止殺毒軟件的運行，從而達到繞過安全檢測的目的。

圖1.RobbinHood勒索軟件贖金票據示例

以老舊漏洞CVE-2018-19320作為入侵突破口

根據Sophos研究人員的說法，整個RobbinHood攻擊鏈是從利用一個老舊的驅動程序漏洞CVE-2018-19320開始的。一旦利用成功，攻擊者便能夠向目標設備部署第二個驅動程序(未簽名的惡意驅動程序)。

值得一提的是，CVE-2018-19320是一個存在于已簽名的合法驅動程序上的漏洞，且在該驅動程序被棄用時并沒有被修復。

圖2.驅動程序的sha1RSA Authenticode簽名于2013年10月17日到期

RobbinHood如何攻破Windows防御？

被用于終止殺毒軟件運行的模塊由嵌入在STEEL.EXE中的幾個文件組成，所有文件均被提取到C:WINDOWSTEMP：

• STEEL.EXE—負責使用未簽名的惡意驅動程序殺死并刪除與殺毒軟件相關的進程及文件；
• ROBNR.EXE—負責安裝存在漏洞的已簽名驅動程序，以及利用CVE-2018-19320來加載未簽名的惡意驅動程序；
• GDRV.SYS—存在漏洞的已簽名驅動程序；
• RBNL.SYS—未簽名的惡意驅動程序；
• PLIST.TXT—一個文本文件，其中包含將要終止其運行的目標應用程序的名稱。

殺死并刪除與殺毒軟件相關的進程及文件的整個過程如下：

第一步，STEEL.EXE部署ROBNR.EXE。

第二步，ROBNR.EXE安裝未簽名的惡意驅動程序RBNL.SYS。

第三步，在RBNL.SYS安裝完成后，STEEL.EXE就會讀取PLIST.TXT，以指示RBNL.SYS刪除在PLIST.TXT中列出的所有應用程序并殺死相關進程。如果該進程作為服務運行，那么該服務將不會再自行重新啟動，因為相關文件已經被刪除。

圖3.惡意驅動程序啟動

圖4.惡意驅動程序處理來自STEEL.EXE的命令

圖5.惡意驅動程序能夠使用多種方式刪除文件

圖6.惡意驅動程序殺死目標進程

最后，STEEL.EXE在完成上述工作并退出后，RobbinHood勒索軟件的加密模塊便會執行，肆無忌憚地加密不再受殺毒軟件保護的文件。

結語

盡管如今能夠通過殺死相關進程以及刪除相關文件來干掉殺毒軟件的勒索軟件并不在少數，但RobbinHood的出現卻告訴了我們，即使是及時通過安裝補丁修復了漏洞，仍然有可能被黑客所攻破，因為他們想要利用的漏洞完全可以由他們自己帶來。

那么，我們如何才能最大程度地降低被攻破的風險呢？首先，使用多重身份驗證(MFA)；其次，限制訪問權限，即僅向他人授予他們所需的訪問權限；再次，定期備份并使用非聯網設備保存它們；最后，關閉遠程桌面服務(RDP)，建議使用VPN。

總結

以上是生活随笔為你收集整理的如何看exe文件源代码_杀进程、删文件...看新型勒索软件RobbinHood如何干掉杀毒软件...的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。