安全厂商Sophos发现一只勒索软件,会在进入受害计算机时安装VM(virtual machine)以避免被杀毒软件侦测到。
Sophos最近侦测到这只名为Ragnar Locker的勒索软件,会在Windows XP VM环境下执行Oracle VirtualBox,以便在杀毒软件侦测不到的“安全环境”中,执行其勒索软件。
研究人员指出,Ragnar Locker背后的黑客组织一向在植入勒索软件前,先从目标计算机上窃取资料。四月间黑客已经对葡萄牙能源(Energias de Portugal)网络发动攻击,声称窃取了10TB敏感公司资料,并勒索1580枚比特币(约1100万美元)的赎金,否则将公布这批资料。
过去的攻击中,Ragnar Locker黑客组织会先利用托管服务供应商的系统漏洞,或攻击Windows Remote Desktop Protocol(RDP)连接以便黑入目标网络。在取得受害者域名的管理员权限,窃取资料后,攻击者即利用原生的Windows管理员工具,像是PowerShell或Windows群组原则对象(Group Policy Objects,GPO)在网络内横向移动,最后进入Windows用户及服务器。
而在近日的攻击下,研究人员发现,Ragnar Locker黑客就是利用GPO程序执行Microsoft Installer (msiexec.exe),传输参数后,从远程Web服务器悄悄下载并安装122MB未签章过的MSI组件。这个组件包含二个文件,一是旧版Oracle VirtualBox hypervisor,是来自2009年8月5日的Sun xVM VirtualBox 3.0.4。另一个则是Windows XP SP3精简版(名为MicroXP v0.82)镜像文件,名为micro.vdi,这个文件内置49KB的Ragnar Locker勒索软件执行文件。
此外该MSI档还部署可执行文件、批次档及其他文件。做了种种准备后,黑客利用一个脚本程序关闭计算机上的安全侦测及通知服务,使其本机磁盘、可移除磁盘、网络驱动器门户大开,而主要应用程序、数据库及备份应用程序等也都解除设防,最后让Ragnar Locker得以全部加密。
由于所有动作都来自VirutalBox该App的合法程序,因而主机上杀毒软件无从拦截侦测。安全厂商还观察到VM内的勒索软件完全针对每台机器独家编译而成。研究人员说,Ragnar Locker的案例显示,勒索软件的攻击手法已经来到新的境界。
之前安全产业也发现,勒索软件已经衍生出关闭杀毒软件、或是迫使计算机进入安全模式以避免被侦测等高端能力。