IT業界資訊媒體

【遇怪魔要識變大個】勒索軟件進化 利用虛擬機器避防毒偵測

勒索軟件橫行咗咁多年,以為開始無咩料到?又或者以為一般防毒軟件都夠做,可以防得到?少年,你太年輕喇!網絡安全公司SophosLabs就發現,Ragnar Locker呢隻勒索軟件嘅攻擊模式有「進化」,侵略性又提升咗一個層次。佢哋會喺受害人部電腦入面植入虛擬機器(Virtual machine,VM),然後就用呢個 VM 嘅軀殼嚟逃避防毒軟件嘅偵測,喺一個自製嘅「安全環境」之下繼續進行軟件勒索。網絡安全專家暫時發現,呢隻勒索軟件係靠植入 Windows XP 嘅 VM,然後執行 Oracle VirtualBox,再利用 VirutalBox 程式嘅合法程序嚟做掩護,令防毒軟件無辦法偵測得到。

Ragnar Locker 背後嘅黑客組織過往一向都會喺啟動勒索軟件前,先由目標電腦上偷資料。四月嗰陣,黑客就曾經對葡萄牙能源(Energias de Portugal)公司嘅網路發動過攻擊,當時聲稱偷取咗該公司敏感資料量達 10 TB,亦都勒索咗1580個比特幣(折合約 1100 萬美元)贖金,如果唔係就會將資料公諸於世。

而佢地過往嘅攻撃,多數都係利用代管服務供應商嘅系統漏洞,或攻擊Windows遠端桌面協定(RDP)連線嚟進行電腦入侵,拎到受害者網域管理員權限之後偷走資料,然後再利用原生嘅Windows管理員工具,好似係PowerShell或Windows群組原則物件(GPO),喺網路入面橫向移動,最後就入侵埋Windows用戶同伺服器,繼而進行資料勒索。

不過研究人員就發現,Ragnar Locker近日嘅攻擊唔同咗,佢地利用GPO程序執行Microsoft 安裝程式(msiexec.exe),由遠端Web伺服器偷偷下載兼安裝122MB未經數位簽章過嘅MSI套件,裡面包含兩個檔案,一個係舊版Oracle VirtualBox hypervisor(Sun xVM VirtualBox 3.0.4版本),另一個係Windows XP SP3精簡版(MicroXP v0.82)映像檔,檔案名係micro.vdi,另外仲包含49KB嘅Ragnar Locker勒索軟體執行檔。(詳細方法可參看下圖)

勒索軟件橫行咗咁多年,以為開始無咩料到?又或者以為一般防毒軟件都夠做,可以防得到?少年,你太年輕喇!網絡安全公司SophosLabs就發現,Ragnar Locker呢隻勒索軟件嘅攻擊模式有「進化」,侵略性又提升咗一個層次。佢哋會喺受害人部電腦入面植入虛擬機器(Virtual machine,VM),然後就用呢個 VM 嘅軀殼嚟逃避防毒軟件嘅偵測,喺一個自製嘅「安全環境」之下繼續進行軟件勒索。網絡安全專家暫時發現,呢隻勒索軟件係靠植入 Windows XP 嘅 VM,然後執行 Oracle VirtualBox,再利用 VirutalBox 程式嘅合法程序嚟做掩護,令防毒軟件無辦法偵測得到。  Ragnar Locker 背後嘅黑客組織過往一向都會喺啟動勒索軟件前,先由目標電腦上偷資料。四月嗰陣,黑客就曾經對葡萄牙能源(Energias de Portugal)公司嘅網路發動過攻擊,當時聲稱偷取咗該公司敏感資料量達 10 TB,亦都勒索咗1580個比特幣(折合約 1100 萬美元)贖金,如果唔係就會將資料公諸於世。  而佢地過往嘅攻撃,多數都係利用代管服務供應商嘅系統漏洞,或攻擊Windows遠端桌面協定(RDP)連線嚟進行電腦入侵,拎到受害者網域管理員權限之後偷走資料,然後再利用原生嘅Windows管理員工具,好似係PowerShell或Windows群組原則物件(GPO),喺網路入面橫向移動,最後就入侵埋Windows用戶同伺服器,繼而進行資料勒索。  不過研究人員就發現,Ragnar Locker近日嘅攻擊唔同咗,佢地利用GPO程序執行Microsoft 安裝程式(msiexec.exe),由遠端Web伺服器偷偷下載兼安裝122MB未經數位簽章過嘅MSI套件,裡面包含兩個檔案,一個係舊版Oracle VirtualBox hypervisor(Sun xVM VirtualBox 3.0.4版本),另一個係Windows XP SP3精簡版(MicroXP v0.82)映像檔,檔案名係micro.vdi,另外仲包含49KB嘅Ragnar Locker勒索軟體執行檔。(詳細方法可參看下圖:https://news.sophos.com/wp-content/uploads/2020/05/rag-install.jpg)  齊晒腳之後,黑客就會利用一個腳本程式關閉電腦嘅安全偵測同通知服務,令到本機磁碟、可移除磁碟同網路磁碟機中門大開,解除埋應用程式同資料庫等等嘅防禦功能,最後Ragnar Locker就可以輕鬆將資料全部加密。  之前都有網絡安全供應商發現,而家有啲勒索軟件可以將防毒軟體關閉,或迫使電腦進入安全模式嚟避免被偵測。企業唔想咁易中招,可以加強員工嘅網絡安全意識培訓、定時備份資料、做好數據加密技術,以及設定離線備份嘅裝置,咁就可以「遇怪魔都識變大個」啦!  資料來源: https://bit.ly/3dJI3Az、https://bit.ly/2BJNVvu  相關文章:【大件事】Bossini、c!ty’super成為勒索軟件攻擊目標? https://wepro180.com/tech-news/【大件事】bossini、ctysuper成為勒索軟件攻擊目標?/

齊晒腳之後,黑客就會利用一個腳本程式關閉電腦嘅安全偵測同通知服務,令到本機磁碟、可移除磁碟同網路磁碟機中門大開,解除埋應用程式同資料庫等等嘅防禦功能,最後Ragnar Locker就可以輕鬆將資料全部加密。

之前都有網絡安全供應商發現,而家有啲勒索軟件可以將防毒軟體關閉,或迫使電腦進入安全模式嚟避免被偵測。企業唔想咁易中招,可以加強員工嘅網絡安全意識培訓、定時備份資料、做好數據加密技術,以及設定離線備份嘅裝置,咁就可以「遇怪魔都識變大個」啦!

資料來源: https://bit.ly/3dJI3Azhttps://bit.ly/2BJNVvu

相關文章:【大件事】Bossini、c!ty’super成為勒索軟件攻擊目標?