勒索软件绕过安全监测的那些套路

#勒索软件绕过安全监测的通用套路

Sophos实验室的安全研究员近日公布了一份白皮书，详尽书说明了勒索软件绕过安全防卫的种种套路。他们分析了多种勒索软件的变种，这些软件都是以其破坏性强而著称，通过分析找到了勒索软件的多种套路。

下面是一个扼要总计，由Sophos实验室研究员提供，是其研究成果的高亮部分。

#代码签名

这是一个有风险但却是切实可行的方法，大部分的勒索软件能绕过虚张声势的安全软件的套路就是代码签名。攻击者将他们的恶意代码用合法的授权证书来签名，这样，可以绕过所有安全工具关于未签名代码的检查。

#提权和横向扩展

数不胜数的勒索软件都会使用多种漏洞来绕过严格的安全防护。然后滥用偷来的凭据来攫取权限的提升。

随着权限的提高，攻击者可以关闭目标的防护功能，并将木马安置到目标系统上。举个栗子，勒索攻击者可以接管远程桌面（RDP），然后在受害者的电脑里删除所有的备份并关闭所有的恢复选项。

#网络优先

勒索软件攻击在商业环境往往遵循“网络优先”的策略。因为大多数机构存储商业文档都是在同一个网络中的个服务器，勒索软件会优先加密网络存储。这个策略对攻击企业员工很有效，无论是内部还是在别处工作的机构人员，都因此无法正常工作。

#多线程

现代的CPU都支持同时多线程技术(SMT)或者说是超线程技术（HT），目的提高性能。因此攻击者也使用同样的招数来提升其更快更有毁灭性的破坏效能。

#文件重命名以及加密

勒索软件通过复制或者复写文件到别的地方的同时，把文件加密起来给受害者搞破坏。然后把文件重命名使得用户看到的是那些被加密被劫持了的数据。同时，这个机制也能让恶意勒索软件检测哪些文件已经被加密，从而避免了二次加密。甚至，这还能防止别的勒索软件的再次加密。

Sophos实验室还分析了一些别的套路，例如更换桌面壁纸、代理加密等等。。。

有了这个分析报告，有理由相信IT从业者可以在对抗勒索软件上面有更多idea。

原文：https://latesthackingnews.com/2019/11/17/researchers-explain-how-ransomware-can-bypass-security-checks/

我在看，你呢？