24h購物| | PChome| 登入
2020-06-15 11:45:32| 人氣55| 回應0 | 上一篇 | 下一篇

勒索軟體再進化!攻擊發展出新手法躲避防毒偵測

推薦 0 收藏 0 轉貼0 訂閱站台

Ragnar Locker駭客組織近期發動的攻擊,會在Windows XP VM環境下執行Oracle VirtualBox,利用VirutalBox這支App的合法程序,來躲過防毒軟體的偵測

 

安全廠商Sophos發現一隻勒索軟體,會在進入受害電腦時安裝VMvirtual machine)以避免被防毒軟體偵測到。

 

Sophos最近偵測到這隻名為Ragnar Locker的勒索軟體,會在Windows XP VM環境下執行Oracle VirtualBox,以便在防毒軟體偵測不到的「安全環境」中,執行其勒索軟體。

 

研究人員指出,Ragnar Locker背後的駭客組織一向在植入勒索軟體前,先從目標電腦上竊取資料。四月間駭客已經對葡萄牙能源(Energias de Portugal)網路發動攻擊,聲稱竊取了10TB敏感公司資料,並勒索1580枚比特幣(約1100萬美元)的贖金,否則將公布這批資料。

 

過去的攻擊中,Ragnar Locker駭客組織會先利用代管服務供應商的系統漏洞,或攻擊Windows Remote Desktop ProtocolRDP)連線以便駭入目標網路。在取得受害者網域的管理員權限,竊取資料後,攻擊者即利用原生的Windows管理員工具,像是PowerShellWindows群組原則物件(Group Policy ObjectsGPO)在網路內橫向移動,最後進入Windows用戶及伺服器。

 

而在近日的攻擊下,研究人員發現,Ragnar Locker駭客就是利用GPO程序執行Microsoft Installer (msiexec.exe),傳輸參數後,從遠端Web伺服器悄悄下載並安裝122MB未簽章過的MSI套件。這個套件包含二個檔案,一是舊版Oracle VirtualBox hypervisor,是來自200985日的Sun xVM VirtualBox 3.0.4。另一個則是Windows XP SP3精簡版(名為MicroXP v0.82)映像檔,名為micro.vdi,這個檔案內含49KBRagnar Locker勒索軟體執行檔。

 

此外該MSI檔還部署可執行檔、批次檔及其他檔案。做了種種準備後,駭客利用一個腳本程式關閉電腦上的安全偵測及通知服務,使其本機磁碟、可移除磁碟、網路磁碟機門戶大開,而主要應用程式、資料庫及備份應用程式等也都解除設防,最後讓Ragnar Locker得以全部加密。

 

由於所有動作都來自VirutalBox這支App的合法程序,因而主機上防毒軟體無從攔截偵測。安全廠商還觀察到VM內的勒索軟體完全針對每臺機器獨家編譯而成。研究人員說,Ragnar Locker的案例顯示,勒索軟體的攻擊手法已經來到新的境界。

 

之前安全產業也發現,勒索軟體已經衍生出關閉防毒軟體、或是迫使電腦進入安全模式以避免被偵測等高階能力。

 

參考資料來源: https://www.ithome.com.tw/news/137845

 

免費防毒又可以清理惡意軟體Malwarebytes 單機版 Windows / Mac
https://bit.ly/2wuaVMP

 

欲詳細了解產品資訊請拜訪:

正新電腦 http://www.pronew.com.tw/ 04-24738309

台長: 正新電腦 - 軟體加密保護專家
TOP
詳全文