黑客利用CPU降频驱动终结杀软
内容提要
黑客通过合法驱动ThrottleStop.sys的漏洞,重命名并结合恶意程序All.exe,获取内核内存访问权限,进而终止安全软件进程。该驱动的IOCTL功能允许管理员读取和写入物理内存,成为攻击的关键。
关键要点
-
黑客利用合法驱动ThrottleStop.sys的漏洞,获取内核内存访问权限。
-
ThrottleStop.sys驱动由TechPowerUp开发,主要用于监控和修复CPU降频问题。
-
驱动的IOCTL功能允许管理员读取和写入物理内存,这是攻击的关键。
-
黑客将ThrottleStop.sys重命名为ThrottleBlood.sys,并与恶意程序All.exe结合使用。
-
ThrottleBlood.sys驱动带有合法证书,允许黑客利用其进行攻击。
-
恶意程序All.exe包含大量杀毒软件的进程名,旨在禁用系统防御。
-
黑客通过SCM API加载ThrottleBlood.sys驱动,劫持内核函数。
-
恶意程序利用NtQuerySystemInformation函数获取已加载内核的基址和目标函数地址。
-
使用SuperFetch技术将虚拟地址转换为物理地址,以执行读写操作。
-
恶意软件选择NtAddAtom作为系统调用,通过ntdll.dll间接调用内核函数。
-
通过DeviceIoControl函数,恶意软件对NtAddAtom函数的物理内存进行读写。
-
AV killer通过Process32FirstW()和Process32NextW() API查找目标进程并终止它们。
-
恶意软件硬编码了目标安全软件的列表,以便识别并终止相关进程。
延伸解读
合法驱动的安全隐患
ThrottleStop.sys作为合法驱动,原本用于优化CPU性能,但其漏洞被黑客利用,显示出合法软件在安全防护中的潜在风险。用户在使用此类工具时,应关注其来源和更新,以防止被恶意利用。
恶意软件的攻击手法
黑客通过重命名合法驱动并结合恶意程序,展示了复杂的攻击链。此类攻击不仅依赖于技术漏洞,还利用了系统调用的特性,提醒用户在防护措施上需加强对内核级别的监控。
内核内存访问的风险
文章中提到的IOCTL功能允许管理员直接读写物理内存,这一特性在安全软件防护中构成了重大威胁。用户和开发者应重视内核驱动的安全性,避免因权限过大而导致的安全漏洞。
延伸问答
黑客是如何利用ThrottleStop.sys驱动的漏洞的?
黑客通过重命名ThrottleStop.sys为ThrottleBlood.sys,并结合恶意程序All.exe,利用驱动的IOCTL功能获取内核内存访问权限,进而终止安全软件进程。
ThrottleStop.sys驱动的主要功能是什么?
ThrottleStop.sys驱动主要用于监控和修复CPU降频问题,常见于游戏玩家。
恶意程序All.exe的作用是什么?
All.exe是黑客的AV killer,包含大量杀毒软件的进程名,旨在禁用系统防御。
黑客如何获取内核函数的地址?
黑客利用NtQuerySystemInformation函数获取已加载内核的基址和目标函数地址,以便进行后续的读写操作。
恶意软件是如何终止安全软件进程的?
恶意软件通过调用Process32FirstW()和Process32NextW() API查找目标进程,并利用存在漏洞的驱动调用内核函数终止匹配的进程。
ThrottleBlood.sys驱动的合法性如何?
ThrottleBlood.sys驱动带有合法证书,允许黑客利用其进行攻击,尽管其本身是合法驱动的变种。
