BlackByte 勒索病毒利用 MSI 驱动漏洞进行攻击

关键要点

• BlackByte 勒索病毒团伙开始利用 MSI Afterburner 中的 RTCore64.sys 驱动漏洞（CVE-2019-16098）进行 BYOVD 攻击。
• 该漏洞的利用使得黑客能够轻松访问 I/O 控制代码，从而在内核内存中进行代码读取、写入和执行。
• BlackByte 在 “AppDataRoaming” 中部署 RTCore64.sys，以创建带有硬编码显示名称的新服务。
• 研究人员发现，该团伙还在监控 Avon、Windows DbgHelp 库、Comodo Internet Security 和 Sandboxie 的 DLL 挂钩，以规避检测。

BlackByte 勒索病毒集团近期利用 MSI Afterburner 的 RTCore64.sys驱动程序漏洞（CVE-2019-16098）发起了一种称为“自带易受攻击驱动程序”（BYOVD）的攻击。根据
的报道，利用这一 MSI图形驱动程序的漏洞使得攻击者能够轻松访问 I/O 控制代码，这可以用于在内核内存中进行代码的读取、写入和执行，甚至不需利用其他漏洞或 shellcode。

经过对内核版本进行侦测，以及确定相应的偏移量，BlackByte 能够顺利地在 “AppDataRoaming” 文件夹内部署
RTCore64.sys，从而创建具有硬编码显示名称的新服务。报告显示，该漏洞还被用来删除内核通知例程，同时获取的回调地址与 1,000个被针对的驱动程序进行比较。

研究人员补充，BlackByte 还在监控 Avast、Windows DbgHelp 库、Comodo Internet Security 和
Sandboxie 的 DLL 挂钩，以躲避检测。这一发现与 采用的类似 BYOVD 方法相呼应。

相关链接

文章 | 链接
—|—
BleepingComputer |
Lazarus 攻击 |

这种新兴的攻击手法展示了网络安全中遗留驱动程序漏洞所带来的巨大风险，提醒我们在使用第三方驱动时务必小心谨慎。