安全研究人員近期發現一款新型“無文件”勒索軟體Sorebrect,允許駭客將惡意代碼隱身注入目標系統中的合法進程(svchost.exe)並終止其二進制代碼以規避安全機制檢測,還能通過使用wevtutil刪除受影響系統的事件日誌阻礙取證分析。 勒索軟體Sorebrect可利用Tor網路匿名連接至命令與控制(C&C)伺服器中。與其他勒索軟體不同的是,Sorebrect專門針對各個行業企業系統注入惡意代碼,以便在本地系統和共享網路中加密文件。
與傳統的勒索病毒不同,Sorebrect主要針對企業的伺服器和終端。病毒會同時感染本地文件和網路共享上的文件,對這些文件進行加密。 Sorebrect勒索軟體首先會破壞管理員憑據,然後使用微軟的Sysinternals PsExec命令行實用程序對文件進行加密。雖然攻擊者可以使用遠程桌面協議(RDP)和PsExec在受影響的機器中安裝Sorebrect惡意軟體,但與使用RDP相比,利用PsExec更為簡單。PsExec可使攻擊者能夠執行遠程命令,而非使用交互登錄會話或將惡意軟體手動傳輸至遠程機器設備。 可感染網路共享中的文件 Sorebrect同時可以掃描網路上其他電腦的共享文件並鎖定這些文件。如果網路上其他電腦的某個共享,被設置為任何人都有讀寫訪問權限,那麼該共享的文件也將遭到加密。 全球範圍內廣泛傳播 調查顯示,研究人員首次在中東國家Kuwait與Lebanon地區發現該勒索軟體跡象。隨後,他們於近期觀察到加拿大、中國、俄羅斯與美國等國家系統也紛紛遭受勒索軟體Sorebrect攻擊。江民科技安全專家建議用戶限制PsExec權限、主動備份文件,實時更新系統與網路安全機制(如防病毒軟體、防病毒網關)以防止遭受攻擊。 如何防範? 由於勒索軟體會在受感染的電腦上使用wevtutil.exe刪除所有事件日誌,並使用vssadmin刪除所有捲影副本,這會增加病毒發現查殺的難度,江民反病毒專家建議企業系統管理員和安全工程師可以採取下列方法進行防範: 1、限制用戶的讀寫權限:如果將所有權限隨意授予給普通用戶,會使網路共享存在較大風險,因此需要授予不同用戶不同的權限。 2、限制PsExec的權限:限制PsExec,並且只允許系統管理員運行它們。 3、定期更新作業系統及應用軟體:始終保持作業系統、應用程序以及防病毒軟體的更新。安裝江民網路防病毒軟體的用戶可以更新最新病毒庫並進行全網推送。 4、定期進行數據備份:對所有重要的文件和文檔進行定期備份,將數據備份到不經常連接電腦的外部存儲設備。 5、培養員工的安全意識:對員工進行惡意軟體、威脅情報和安全措施的培訓,這一點也同樣至關重要。 |