網絡保安人員與黑客之間的技術追逐時刻都在發生,隨著加密勒索程式的廣泛流行,現代可靠的防護方案都有相當高的防護率,而惡名昭彰黑客組織 Lazarus 就進行新加密勒索程式的實驗,試圖突破防護方案的保護網。
加入 APT 技術傳播加密勒索軟件
黑客組織 Lazarus 一直是以 APT 方法攻擊進行金融網絡犯罪,表現一直相當「突出」,然而最近 Kaspersky 的專家就偵測到從未被發現的 VHD 惡意程式,並顯示 Lazarus 正在對它進行實驗。
在功能上,VHD 是一款相當標準的加密勒索工作,它會漫延到與受害者電腦相連的磁盤,加密檔案、刪除所有 System Volume Information 資料夾 (從而破壞 Windows 的 System Restore),此外它還可以暫停那些保護重要檔案的步驟 (例如 Microsoft Exchange 或 SQL Server)。
不過最令研究人員感到興趣的是 VHD 如何進入目標電腦的方法,因為它傳遞的機制通常用於 APT 攻擊,研究人員從幾個 VHD 個案中分析了攻擊者分別的行動。
通過受害者的網絡橫向傳播
在第一個個案中,VHD 在目標網絡內傳播用的惡意編碼吸引了 Kaspersky 專家的注意,它具備了受害者電腦的 IP 地址列表,並附有管理員權限的帳號資料,如果惡意程式成功使用 SMB 協定連線到其他電腦的網絡資料夾,它便會自我複製和執行,對該裝置同樣進行加密。
這種行為並非典型的廣泛型加密勒索程式,它需要至少對目標的網絡架構進行一定的偵查,所以比較像 APT 活動的特徵。
連鎖感染
Kaspersky 的 Global Emergency Response Team 在另一次調查中再遇到 VHD 加密勒索程式,這次研究人員能夠追蹤症個連鎖感染的流程,根據他們的報告,網絡罪犯:
- 透過 VPN gateway 的漏洞存取受害者的系統
- 取得被入侵裝置的管理權限
- 安裝後門程式
- 奪取 Active Directory 伺服器的控制
- 以專門為這項工作編寫的 VHD 加密勒索程式載具,感染網絡內所有電腦。
經更深入分析部署後門程式的工作,發現時多平台惡意程式框架 (MATA) 的一部份 (又被稱為 Dacls),研究確信它是 Lazarus 的其他工具,詳細資料可以瀏覽這裡。
保護公司的方法
Lazarus 的 VHD 加密勒索程式感染業電腦的手法高明,此惡意程式並不在普通的黑客討論區出現,而是專門為針對性攻擊而開發,用作滲透受害者網絡設施和於網絡內傳播的技術令人回想起精密的 APT 攻擊。隨著金融網絡犯罪工具和 APT 攻擊的邊界越來越模糊,顯示即使是較小型的公司也可能需要進階的防護技術。Kaspersky 較早前推出了綜合方案,結合 Endpoint Protection Platform (EPP) 和 Endpoint Detection and REsponse (EDR) 的功能,讓企業用戶能具備較進階的對策。
