次世代加密勒索軟件SynAck 暴力破解RDP強化反偵測功能

為了躲避網絡保安方案的攔截,惡意程式一直進化,而這次被發現的「次世代加密勒索軟件」SynAck自 2017 年至今就取得飛躍性的進化,最新版本具備非常精密的反偵測手法,並使用新的技術「Process Doppelgänging」,令所有 Windows 平台都隨時受到威脅。

嶄新反偵測技術
一般惡意程式的開發者都會使用「模糊化」 (Obfuscation) 的手法令編碼無法直接讀取,使防毒軟件不會認定它為惡意程式,然而這種方式早已被防毒軟件開法商破解,攔截大部份惡意程式。然而 SynAck 的開發者就選擇另一種方法,在編寫成編碼前就進行模糊化,使黑客與防毒軟件雙方都要付出更多努力,令保安方案的偵測工作明顯變得更加困難。

「Process Doppelgänging」Windows XP 以後都能執行
新版本的 SynArk 也採用了相對複雜的「Process Doppelgänging」技術,該技術在 Black Hat 2017 上被研究人員指出能夠作為惡意行為的元件,這次是首次發現被加密勒索軟件所使用。該技術利用 NTFS 檔案系統和舊 Windows 加工載入器 (自 Windows XP 以後一直存在),容許開發者製作無檔案 (fileless) 惡意程式,使惡意行為看起來像合法的動作,是相當複雜的技術。

逃避沙盒與地區限制
SynArk 具備兩項值得注意的功能,第一項是它會檢查自己是否安裝在正確的位置,如果位置有誤便停止執行,藉此逃避常見保安方案的自動沙盒 (sandbox) 的偵測。第二項功能是檢查電腦地區的鍵盤語言,檢測到是指定的語言便會便止運作 (在樣本中為 Cyrillic),憑此功能可以限制惡意程式在指定區域爆發。

贖金大減
對一般用戶而言,SynArk 其實只是一款加密勒索軟件,但是它要求的贖金和其他前輩相比就「相宜」,只需大約 3 千美元 (針對商業用戶),不過程式在加密用戶檔案之前,會確保其先收拾同樣保存重要檔案的程序,之後再加密檔案並在登入畫面顯示勒索訊息和聯絡方法。由於 SynAck 使用強力的加密算法而且未被發現存在程式漏洞,所以暫時沒有免費解密的方法。

預防方法
SynAck 被研究人員籲為次世代加密勒索軟件,其傳播方法採用暴力破解 RDP (Remote Desktop Protocol),加上新的反偵測方法和無法免費解密,如果成為新趨勢將會成為用戶的重大威脅。雖然暫時受影響的用戶只局限於美國、科威特和伊朗的商業用戶,但並不排除往後會向其他地區和目標攻擊,所以用戶應該留意以下方法,預防勝於治療。

  • 定期備份,保存備份資料在非經常連接網絡的隔離媒體內。
  • 如果無需使用 Windows Remote Desktop 功能,就把它關閉。
  • 使用可靠、內建防火牆的保安方案,個人用戶可以使用 Kaspersky Internet Security,企業用戶可以使用 Kaspersky Small Office Security 或 Kaspersky Endpoint Security,讓網絡受到妥善保護。