圖片來源: 

Carbon Black

在7月初,VMware去年併購的次世代端點防護廠商Carbon Black,他們的威脅分析單位發現,一種名為Conti新的勒索軟體家族,採用了非常不尋常的攻擊手法。包含了能占用受害電腦32個處理器執行緒,同時加密大量檔案,讓防護系統來不及因應;再者,它不光能加密受害電腦的本機檔案,駭客還可以藉著命令列下達指令,使用加密模式來掃描企業內部的網路資料夾,針對企業重要資料加密;而對於使用者已經開啟的檔案,Conti也不放過,透過Windows作業系統內建模組Restart Manager,來強制將資料解除鎖定後加密。不過,對於可能會受到影響的範圍,以及有多少企業受害,Carbon Black並沒有進一步透露相關細節。

由於這個勒索軟體採用的手法極為特殊且精細,Carbon Black甚至認為,它展現了時下勒索軟體發展的轉捩點。新聞網站Bleeping Computer更引述情資公司Advanced Intelligence的看法,認為這款勒索軟體是由使用Ryuk的駭客組織所開發,直指Conti應該就是Ryuk的接班人。雖然使用Ryuk的駭客組織向來鎖定大型企業發動攻擊,但是Conti導入的獨特手法,以往幾乎不曾出現或引起注意,再加上Carbon Black發現,利用Conti發動的攻擊事件越來越多,因此這個新出現的勒索軟體非常值得我們關注。

Carbon Black表示,這些攻擊手法未必是Conti首先採用,但是在這款勒索軟體裡被運用得更加極致。例如,支援使用受害電腦處理器的多個執行緒,來加速加密作業,其實已有不少惡名昭彰的勒索軟體具備這種特性,像是Sodinokibi(REvil)、LockBit、Thanos、Phobos、LockerGoga,以及MagaCortex等,但在探討這些勒索軟體的時候,我們很少看到研究人員強調此事。而Carbon Black特別提及Conti的這項能力在於,該勒索軟體能一口氣支援到最多使用32個處理器執行緒運作,如此強大的執行加密工作能力,可說是前所未見。該公司指出,在這種情況下,Conti加密受害電腦檔案的速度會大幅提升。這代表著企業如果發現遭到Conti攻擊,想要拔網路線或是關機來挽救,很可能已經有一大部分檔案早就遇害。

駭客能透過命令列遠端控制,指定目標下手

一般來說,許多被研究人員揭露的勒索軟體,大多是在找尋對象的時候,駭客利用鎖定目標的手法,像是釣魚郵件附件,或是偷渡式下載(Drive-by Download)等方法,進入到企業的網路環境,一旦成功滲透,就大肆搜尋可被攻擊的電腦,進行擴散,鮮少直接鎖定企業重要的伺服器或是資料下手。雖然Conti也具備這種感染威力,但Carbon Black指出,Conti提供了遠端控制的機制,讓駭客在進入到企業環境後,可透過命令列,來下達較為精確的掃描或是攻擊指令。例如,駭客可指定加密本機磁碟的資料,或者是網路資料夾的內容,甚至是匯入一系列的IP位址名單,針對企業的機密資料,更為精準地發動攻擊。

對於Conti這種可被遠端控制的能力,究竟會造成什麼影響呢?Carbon Black認為,要是駭客善用此種機制,可以持續攻擊檔案共享伺服器,讓它超載導致中斷連線能力,形成阻斷服務攻擊(DoS)。再者,由於採用針對特定工作站電腦與伺服器攻擊的策略,對於企業想要透過網路流量偵測來防禦勒索軟體,藉由疑似攻擊行為來加以防範,然而因為企業找不到其他類似遭到攻擊的電腦,這種方式會擾亂企業偵測勒索軟體攻擊態勢的步調,更難掌握情勢。

對於正在使用的檔案也不放過,採用Windows內建工具強制解除鎖定

另一個引起關注的能力,就是Conti對於少數正在使用的檔案,所採取的做法。一般來說,檔案被使用者開啟後,其他人再執行,這個檔案就會變成唯讀的狀態。對於這種已經開啟的檔案,勒索軟體如何將其加密?過往比較常見的手法,很可能是藉由重新開機到安全模式,來強制關閉應用程式和檔案。但是Conti採用的手法很特別,是濫用Windows作業系統內建的Restart Manager,藉著這種許多人都不太清楚的工具,來強制關閉正在執行的檔案。而濫用Restart Manager的做法可說是相當新,因為,Carbon Black剛在上個月,首度發現勒索軟體Medusa Locker,採用了這種手法。

什麼是Restart Manager?這是微軟自Windows Vista時期開始提供的系統工具,當時推出的用意,就是在管理者安裝應用程式的時候,能夠將正在執行的應用程式強制關閉,以便順利更新相關檔案,並且在安裝完成後,恢復原本正在執行的工作。這款工具在Vista以後的作業系統,成為內建功能,這也意味著,時下的Windows電腦都會受到這種手法的影響。

熱門新聞

Advertisement