研究人員發現,Ragnar Locker的新型攻擊手法,會從遠端Web伺服器下載並安裝MSI套件,其中包含二個檔案,一是舊版Oracle VirtualBox hypervisor,另一個則是Windows XP SP3精簡版映像檔,內含勒索軟體執行檔。後續所有攻擊動作都來自VirutalBox這支App的合法程序,讓主機上防毒軟體無從攔截偵測。情境示意圖,Photo by Matt Seymour on unsplash

安全廠商Sophos發現一隻勒索軟體,會在進入受害電腦時安裝VM(virtual machine)以避免被防毒軟體偵測到。

Sophos最近偵測到這隻名為Ragnar Locker的勒索軟體,會在Windows XP VM環境下執行Oracle VirtualBox,以便在防毒軟體偵測不到的「安全環境」中,執行其勒索軟體。

研究人員指出,Ragnar Locker背後的駭客組織一向在植入勒索軟體前,先從目標電腦上竊取資料。四月間駭客已經對葡萄牙能源(Energias de Portugal)網路發動攻擊,聲稱竊取了10TB敏感公司資料,並勒索1580枚比特幣(約1100萬美元)的贖金,否則將公布這批資料。

過去的攻擊中,Ragnar Locker駭客組織會先利用代管服務供應商的系統漏洞,或攻擊Windows Remote Desktop Protocol(RDP)連線以便駭入目標網路。在取得受害者網域的管理員權限,竊取資料後,攻擊者即利用原生的Windows管理員工具,像是PowerShell或Windows群組原則物件(Group Policy Objects,GPO)在網路內橫向移動,最後進入Windows用戶及伺服器。

而在近日的攻擊下,研究人員發現,Ragnar Locker駭客就是利用GPO程序執行Microsoft Installer (msiexec.exe),傳輸參數後,從遠端Web伺服器悄悄下載並安裝122MB未簽章過的MSI套件。這個套件包含二個檔案,一是舊版Oracle VirtualBox hypervisor,是來自2009年8月5日的Sun xVM VirtualBox 3.0.4。另一個則是Windows XP SP3精簡版(名為MicroXP v0.82)映像檔,名為micro.vdi,這個檔案內含49KB的Ragnar Locker勒索軟體執行檔。

此外該MSI檔還部署可執行檔、批次檔及其他檔案。做了種種準備後,駭客利用一個腳本程式關閉電腦上的安全偵測及通知服務,使其本機磁碟、可移除磁碟、網路磁碟機門戶大開,而主要應用程式、資料庫及備份應用程式等也都解除設防,最後讓Ragnar Locker得以全部加密。

由於所有動作都來自VirutalBox這支App的合法程序,因而主機上防毒軟體無從攔截偵測。安全廠商還觀察到VM內的勒索軟體完全針對每臺機器獨家編譯而成。研究人員說,Ragnar Locker的案例顯示,勒索軟體的攻擊手法已經來到新的境界。

之前安全產業也發現,勒索軟體已經衍生出關閉防毒軟體、或是迫使電腦進入安全模式以避免被偵測等高階能力。


Advertisement

更多 iThome相關內容