勒索软件威胁长久以来都是互联网用户的一大噩梦,尤其是商业用户。尽管部署了充足的安全防护,但是不少的企业和组织仍经常受勒索软件侵扰。近日,研究者重点讲述了勒索软件绕过安全监测的套路,值得一看。
#勒索软件绕过安全监测的通用套路
Sophos实验室的安全研究员近日公布了一份白皮书,详尽书说明了勒索软件绕过安全防卫的种种套路。他们分析了多种勒索软件的变种,这些软件都是以其破坏性强而著称,通过分析找到了勒索软件的多种套路。
下面是一个扼要总计,由Sophos实验室研究员提供,是其研究成果的高亮部分。
#代码签名
这是一个有风险但却是切实可行的方法,大部分的勒索软件能绕过虚张声势的安全软件的套路就是代码签名。攻击者将他们的恶意代码用合法的授权证书来签名,这样,可以绕过所有安全工具关于未签名代码的检查。
#提权和横向扩展
数不胜数的勒索软件都会使用多种漏洞来绕过严格的安全防护。然后滥用偷来的凭据来攫取权限的提升。
随着权限的提高,攻击者可以关闭目标的防护功能,并将木马安置到目标系统上。举个栗子,勒索攻击者可以接管远程桌面(RDP),然后在受害者的电脑里删除所有的备份并关闭所有的恢复选项。
#网络优先
勒索软件攻击在商业环境往往遵循“网络优先”的策略。因为大多数机构存储商业文档都是在同一个网络中的个服务器,勒索软件会优先加密网络存储。这个策略对攻击企业员工很有效,无论是内部还是在别处工作的机构人员,都因此无法正常工作。
#多线程
现代的CPU都支持同时多线程技术(SMT)或者说是超线程技术(HT),目的提高性能。因此攻击者也使用同样的招数来提升其更快更有毁灭性的破坏效能。
#文件重命名以及加密
勒索软件通过复制或者复写文件到别的地方的同时,把文件加密起来给受害者搞破坏。然后把文件重命名使得用户看到的是那些被加密被劫持了的数据。同时,这个机制也能让恶意勒索软件检测哪些文件已经被加密,从而避免了二次加密。甚至,这还能防止别的勒索软件的再次加密。
Sophos实验室还分析了一些别的套路,例如更换桌面壁纸、代理加密等等。。。
有了这个分析报告,有理由相信IT从业者可以在对抗勒索软件上面有更多idea。
原文:https://latesthackingnews.com/2019/11/17/researchers-explain-how-ransomware-can-bypass-security-checks/
HackerHub发布 | 转载请注明出处
.> 麦咖啡(McAfee)任意代码执行漏洞,可冒用签名执行,白名单绕过以及提权。
.> 赛门铁克(Symantec)任意代码执行漏洞,可冒用签名执行,白名单绕过以及提权。
我在看,你呢?