安全企业Sophos本周指出,今年6月才现身的勒索软件AvosLocker于今年底的攻击量大增,并披露其攻击手法是通过系统的安全模式(Safe Mode),在关闭杀毒软件的情况下,利用远程桌面管理程序AnyDesk部署勒索软件。
安全模式为操作系统的一种特殊诊断模式,主要用来替系统调试,因此,在进入安全模式之际,系统会关闭绝大多数的第三方驱动程序与软件,包括杀毒软件在内。由于它让系统失去了杀毒软件的保护,有利勒索软件的部署,因此,不只是AvosLocker,采用安全模式来部署勒索软件的前辈还包括Snatch、REvil与BlackMatter。
而AvosLocker的特别之处在于,黑客还变更了安全模式的启动配置,以于该模式中安装及使用远程桌面管理程序AnyDesk。
图片来源_Sophos
此外,Sophos发现AvosLocker黑客集团的部署仿若IT专家,采用了另一个IT管理工具PDQ Deploy将Windows的批处理脚本程序发送到目标对象上,这些批次文件在计算机进入安全模式之前就执行,目的为协调攻击的每一个阶段,并替最后一个部署勒索软件的最终阶段奠定了基础。
图片来源_Sophos
Sophos提醒,在黑客如此缜密的规划下,各大组织的IT安全团队所面临的将不只是阻止勒索软件,因为就算成功防堵了勒索软件,也应该移除受害系统上的其它黑客足迹,例如AnyDesk,否则黑客将能很轻易地再利用AnyDesk加载各式的恶意程序并重新展开攻击。
迄今AvosLocker攻击的范围已横跨美洲、中东及亚太地区,锁定Windows及Linux操作系统,台湾的技嘉科技也曾在10月沦为AvosLocker的受害者。