最新勒索软件锁定Jupyter Notebook Web App

研究人员近日发现,一只勒索软件锁定资料分析用的Jupyter Notebook Web版App以加密受害者文件。

安全厂商Aqua拦截到的勒索软件,不是使用恶意程序作者常用的GoLang、Dang、Rust及Nim开发,而是以Python撰写。它利用组态不当的问题访问进Jupyter Notebook环境,加密所有文件后、再自我删除以免被发现。

图片来源/Aqua Security

Jupyter Notebook是广受资料分析项目人员爱用的开源Web应用程序,能撰写和执行程序并且可视化呈现开发结果。通常Jupyter Notebook系统环境会以令牌、密码管制访问,或限制进入流量,但仍有时候项目人员未设好验证而让外部人士以浏览器直接访问环境。Jupyter Notebook的一项内置功能,还允许用户打开shell终端机(terminal)而访问服务器。

根据分析,黑客是利用一个组态不当的应用程序访问系统、下载攻击用的函数库和工具(如加密器)到受害者环境中,接着以Python程序代码创建勒索软件脚本后执行。

黑客在实际攻击前就暂停行动,但研究人员模拟后发现这个Python文件在执行加密后会自我删除以隐藏其行动。此外也还没有显示勒索消息。研究人员推论黑客目前可能正在实验。

整体而言,这只未命名的勒索软件以手法而言,并不像现行几只凶险的勒索软件包括Locky、Ryuk、WannaCry或勒索软件即服务GandCrab手法那么复杂。依其中一个文件所用字词,研究人员推测可能是来自俄语系国家,而且也见于过去攻击Jupyter Notebook及JupyterLab环境的挖矿攻击。

利用Shodan搜索引擎,目前网络上约有200个对互联网开放的Jupyter notebook未设验证管控,显示它们可能是这波攻击的目标。

为免遭黑客毒手,安全公司建议Jupyter Notebook用户激活令牌或其他验证方式强化防护、使用SSL加密连接传输资料,并且封锁外部网络访问,若有必要则需使用VPN或遵循网络规则才能放行,也应限制向外流量。此外,管理员应掌握Jupyter Notebook用户的身份,而用户也最好以一般用户身份或较低权限来执行应用程序。

发表评论