【又變招】勒索軟件Astro Locker新套路 針對性編碼及多線控制中心增突破機率
知名勒索軟件 Mount Locker 擬似為了繞過網絡安全工具的監察而再進化,專家指有跡象顯示新的 Astro Locker 實為 Mount Locker 的升級版,精密的程式碼及部署有助避過攔截,資安人員要小心防範新的攻擊手法。
網絡安全黑白兩道每日都在持續交手,每當防守一方有新的對策,網絡犯罪集團就會更新攻擊手段。網絡安全公司 GuidePoint Security 最近便發現,勒索軟件集團 Mount Locker 開始改變攻擊策略,以新的 Astro Locker 勒索軟件避過監測。專家首先指出,過往網絡安全工具會基於程式碼的特定模式,去分辨軟件或應用服務有否可疑之處。不過,新的 Astro Locker 除了會使用混淆化 (obfuscation) 方式去隱藏有問題的程式碼外,更會針對性為特定行業、硬件配置編寫程式碼,令網絡安全工具更難依賴已知的病毒資料庫去分析。
此外,黑客集團亦會以更多可信的伺服器作為 C&C 控制中心,例如 GuidePoint Security 專家在報告中指出,Astro Locker 便利用了多個 CobaltStrike 伺服器及多個獨立的 domains 作為控制中心,雖然黑客集團的管理工作量會大增,但就換來分散的優勢,即使其中一個被標示為可疑,仍可借助其他控制中心去送出勒索軟件及收集受害企業的機密資料,提升植入勒索軟件的成功率及延長被攔截的時間。
Mount Locker 與 Astro Locker 兩者之間的關連,早於上月已被網絡安全公司 Sophos 所發現,除了兩者所使用的程式碼相近,專家亦從兩個勒索軟件集團用作公開受害企業資料的網站上發現倪端。在比對兩個網站的過程中,專家指出其中被列於 Astro Locker 名單上的五間受害企業,都同時出現於 Mount Locker 網站;而部分被 Mount Locker 公開的機密資料亦同時出現於 Astro Locker 網站,所以相信兩者之間有可能由相同組織經營。
如果要阻止這種先進的勒索軟件或病毒入侵,資安人員便必須嚴格監控所有網絡活動,從中發現有否可疑舉動,例如經 FTP 傳送的檔案是否正常及合法、要求存取的檔案有否超越帳戶權限,以及帳戶登入的 IP 及時間有否可疑,才能盡量降低被入侵的機會。