关注我们的 WhatsApp 频道, TikTok 与 Instagram 以观看最新的短视频 - 开箱,测评与第一手新闻资讯。
黑客组织LAPSU$为逼迫NVIDIA解除其产品对虚拟货币挖矿的限制,进行了勒索。然而在 NVIDIA 拒绝支付赎金后,LAPSU$利用代码签署恶意软件并可在Windows中加载!
对本次泄露事件负责的勒索集团 Lapsus$ 表示,他们已经窃取了 1TB 的数据,并在 NVIDIA 拒绝与他们谈判后开始在网上泄露这些数据。泄漏的数据包括 2 份被盗的代码签名证书,这些证书是 NVIDIA 开发人员用来签署其驱动程序和可执行文件的。
代码签名证书允许开发人员对可执行文件和驱动程序进行数字签名,以便 Windows 和终端用户能够验证文件的所有者,以及它们是否被第三方篡改过。为了提高 Windows 的安全性,Microsoft 还要求内核模式的驱动程序在操作系统加载之前必须进行代码签名。
在 Lapsus$ 泄露了 NVIDIA 的代码签名证书后,安全研究人员很快发现,这些证书被用来签署恶意软件和威胁者使用的其他工具。根据上传到 VirusTotal 恶意软件扫描服务的样本,被盗的证书被用来签署各种恶意软件和黑客工具,如 Cobalt Strike 信标、Mimikatz、后门和远程访问木马。
那用户应该怎么办,才能防止中毒呢?
对此,Microsoft企业和操作系统安全总监David Weston在Twitter上给出了对策:以管理员身份配置Windows Defender应用程序控制策略,这样就能控制可以加载哪些驱动程序,防止病毒被加载到系统中。
As part of the #NvidiaLeaks, two code signing certificates have been compromised. Although they have expired, Windows still allows them to be used for driver signing purposes. See the talk I gave at BH/DC for more context on leaked certificates: https://t.co/UWu3AzHc66 pic.twitter.com/gCrol0BxHd
— Bill Demirkapi (@BillDemirkapi) March 3, 2022
Whether or not they are expired is immaterial. You can use WDAC/HVCU to block any driver. ASR blocks from a predefined list of vulnerable drivers. HVCI has a stronger threat model which is important in this scenario because you assume someone who can load a driver is also admin.
— David Weston (DWIZZZLE) (@dwizzzleMSFT) March 3, 2022
然而,使用这种方法比较复杂,并不适合电脑小白。有人建议微软撤销对这两个英伟达过期证书的许可,但这又有可能导致真的英伟达驱动程序被阻止。
不过好消息是,虽然系统自带反病毒软件不好使,但由VirusTotal的扫描结果显示,现在的杀毒软件很多能发现伪装的病毒,事情可能并没有想象的那么糟。更多科技资讯,请继续守住TechNave中文版!
【资料来源】【资料来源】
