趨勢科技發現勒索軟件演員濫用 Genshin Impact 反作弊驅動程序來殺死殺毒軟件

2022-08-26 15:07:02 +08:00
 Constantping
https://www.trendmicro.com/en_us/research/22/h/ransomware-actor-abuses-genshin-impact-anti-cheat-driver-to-kill-antivirus.html
1128 次点击
所在节点    分享发现
4 条回复
LinePro
2022-08-26 15:18:54 +08:00
好像有人研究过调用这个驱动是需要管理员权限的。勒索软件已经启动并且有管理员权限了那它即使不用 mhyprot2.sys 应该也可以加载其他的驱动吧。个人认为杀毒软件应该要在勒索软件运行并加载调用驱动之前就拦截住。
fuzzsh
2022-08-26 15:34:53 +08:00
@LinePro 这个是没作限制任意调用,从而杀死其它进程,其它的调用要用特定方式
LinePro
2022-08-26 15:44:42 +08:00
@fuzzsh #2 没有检查调用方确实不太好。不过感觉上增加限制无非就是增加勒索软件开发绕过限制的工作量?所以还是得从源头解决,拦截运行。
ztmzzz
2022-08-27 00:38:16 +08:00
没了这个驱动还有一大堆有漏洞的驱动,例如 intel 的某个网卡驱动,都可以实现

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/875602

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX