從今年1月開始出現的GandCrab勒索軟體,發展的速度可說是相當快,截至目前為止已經經過多次改版,而且,從這款勒索軟體發展的過程中,同時突顯了現在開發攻擊工具生態圈的現況,由於不同領域的惡意軟體開發團隊之間結盟,使得駭客若想使用新版GandCrab發動攻擊,可輕易藉由多種管道,像是僵屍網路、漏洞利用套件(Exploit Kit)、木馬程式,以及網路釣魚等。
這款勒索軟體現在的版本是5.0.2,根據McAfee研究團隊發現,GandCrab各版本的程式碼裡,都存在許多的臭蟲。不過,自第5版開始,由於GandCrab開發團隊與供應惡意軟體加密工具(Crypter)的組織NTCrypt結盟,提供購買GandCrab的客戶,能用較為便宜的價格取得NTCrypt,讓駭客能更容易取得所需的服務。
在地下論壇中,提供惡意軟體加殼與匿蹤服務的NTCrypt,與GandCrab開發者結盟後,便對於購買該勒索軟體的駭客,推出優惠價格。(圖片來源/McAfee)
附帶一提的是,在前一版本的GandCrab開發者,就已經與其他駭客團隊合作,例如Fallout漏洞利用套件,不過,這次與NTCrypt結盟的緣由,竟是在9月底時,GandCrab開發團隊於地下論壇舉辦了競賽,藉此想要找到想要合作的匿蹤工具服務組織,而NTCrypt正是當時贏得比賽的團隊。
包含McAfee在內的各資安研究團隊擔心,上述開發GandCrab勒索軟體的作法頗有成效,而且藉由與供應其他基本服務的地下組織合作,會形成更完整的網路犯罪上下遊供應鏈,導致攻擊者更容易一口氣取得犯案所需的工具。而且,根據McAfee指出,用來散布新版GandCrab的管道極為多元,包含了遠端桌面、僵屍網路、滲透工具,也有利用釣魚郵件與經由木馬程式挾帶的做法,而最新的5.0.2版,則主要利用PowerShell執行指令碼,埋藏在記憶體內暗中運作。
為了讓使用者更了解新的GandCrab感染途徑,McAfee製作了這張流程圖,從圖中我們可以看到,不光是用來滲透的管道多元,就連所濫用的系統漏洞也有2個,此外,為了確保GandCrab能夠執行,除了在提升權限前有多道環境檢查,也會在過程中加入機碼。(圖片來源/McAfee)
|
|
|
|
|
|
|
|
|
Text-to-speech function is limited to 200 characters
