新的加密勒索軟件威脅接踵而來 – CryptXXX
概觀
自從2016年二月起,勒索軟件對網絡已構成廣泛的威脅。根據HKCERT 的統計數據本年度截至五月止,總共收到172宗加密勒索軟件事故報告。
隨著加密勒索軟件Locky 在2016年3月份的興起,其他勒索軟件也相繼活躍起來。正當Locky 的個案遂漸減少,另一種名為CryptXXX 的勒索軟件在5月份錄得32宗個案,冒升成為頭號威脅的勒索軟件。CryptXXX 的興起非常快,它最新的版本 3.1已加強了躲避偵測的技術和具備加密網絡共享連接數據的功能。
利用被入侵的網站傳播CryptXXX
CryptXXX 的傳播途徑有別於Locky,它不再依賴發送垃圾電郵,而是利用被入侵的網站和網上廣告載入漏洞攻擊包進行感染。在5月份32宗個案中,有一宗是網站寄存漏洞攻擊包作傳播勒索軟件用途。這個網站存有保安漏洞,被網絡罪犯利用來進行攻擊。
以下是一個利用被入侵的網站用作傳播勒索軟件的例子。在2016 年四月, 一間美國出名的玩具公司Maisto 被發現其網站被入侵並植入漏洞攻擊包,最後成為散播勒索軟件的工具。網絡保安公司Sucuri 指出,Maisto 網站仍然運行過時的Joomla內容管理系統,吸引了網絡罪犯來入侵。該網站的主頁被植入惡意代碼來攻擊訪客的作業系統、瀏覽器及插件(例如Adobe Flash 或 Microsoft Silverlight) 。倘攻擊成功,受害者的電腦會被安裝勒索軟件CryptXXX。
圖1. CryptXXX 透過 Angler 漏洞攻擊包的感染途徑 (來源: trendmircro.com)
CryptXXX善於躲避偵測
CryptXXX 具備以下躲避偵測的新功能
1. 略過删除磁碟區陰影拷貝。
2. 利用插入動態連結函式庫方式,隱藏於已簽署的視窗進程。
3. 延遲一小時以上才執行,避開傳統沙箱的偵測,因為沙箱通常只能運行幾分鐘。
4. 減少與勒索軟件控制伺服器網絡活動,避免交換加密密鑰的活動被攔截。
勒索軟件服務
勒索軟件不單是惡意軟件,已經成為網絡罪犯的其中一種服務。一些網絡罪犯向其他缺乏相關技術和IT基建的罪犯提供服務,包括供應惡意軟件,漏洞攻擊包,提供惡意軟件分銷渠道,比特幣贖金付款服務以及管理平台等。他們在地下市場售賣CryptXXX 和其他勒索軟件來賺取豐厚利潤。 這個犯罪模式有利可圖的情況下,吸引更多的網絡犯罪集團參與。他們會繼續改良惡意軟件和服務模式,令到勒索軟件更難偵測。相信勒索軟件的威脅會持續出現,未來更將延伸到其他作業平台如Mac, Linux 和手機平台等。
圖2. 贖金會因為遲交而增加(來源: proofpoint.com)
對抗勒索軟件的威脅
協調中心建議用戶採取以下方法來避免受勒索軟件影響:
• 定期備份電腦上的檔案,並保存一份離線副本。
• 為操作系統,軟件及瀏覽器的插件安裝最新保安更新,甚至移除不需要使用的軟件,可減低因到訪網站受感染的風險。
• 停止使用供應商已終止提供保安更新的軟件(例如視窗 XP)。
• 確保更新電腦上的保安軟件。
• 當收到任何可疑電郵及附件,請不要開啟及立即删除。
• 關閉微軟Office巨集功能,只在有需要和安全的情況下暫時啟用。
• 資訊科技管理員應該限制用戶只有最低存取權限,以減輕勒索軟件所造成的影響。
總結
勒索軟件正在演變中,増加了躲避偵測的能力,造成保安系統對於新樣本的辨識率處於低水平。我們應該採用多方位的防衛方式來應付勒索軟件,及拒絕支付贖金,避免助長網絡罪犯利用所得來資金繼續營運,和傳播更多勒索軟件。
參考
1. /my_url/en/alert/16060301
2. http://blog.trendmicro.com/trendlabs-security-intelligence/will-cryptxxx-replace-teslacrypt-ransomware-shakedown/
3. http://blog.checkpoint.com/2016/05/27/cryptxxx-simple-evasive-effective/
4. https://blog.malwarebytes.org/threat-analysis/2016/04/toy-maker-maisto-unwittingly-serves-up-cryptxxx-ransomware/
5. https://www.proofpoint.com/us/threat-insight/post/cryptxxx-ransomware-learns-samba-other-new-tricks-with-version3100
分享至