【遇怪魔要識變大個】勒索軟件進化 利用虛擬機器避防毒偵測

勒索軟件橫行咗咁多年，以為開始無咩料到？又或者以為一般防毒軟件都夠做，可以防得到？少年，你太年輕喇！網絡安全公司SophosLabs就發現，Ragnar Locker呢隻勒索軟件嘅攻擊模式有「進化」，侵略性又提升咗一個層次。佢哋會喺受害人部電腦入面植入虛擬機器（Virtual machine,VM），然後就用呢個 VM 嘅軀殼嚟逃避防毒軟件嘅偵測，喺一個自製嘅「安全環境」之下繼續進行軟件勒索。網絡安全專家暫時發現，呢隻勒索軟件係靠植入 Windows XP 嘅 VM，然後執行 Oracle VirtualBox，再利用 VirutalBox 程式嘅合法程序嚟做掩護，令防毒軟件無辦法偵測得到。

Ragnar Locker 背後嘅黑客組織過往一向都會喺啟動勒索軟件前，先由目標電腦上偷資料。四月嗰陣，黑客就曾經對葡萄牙能源（Energias de Portugal）公司嘅網路發動過攻擊，當時聲稱偷取咗該公司敏感資料量達 10 TB，亦都勒索咗1580個比特幣（折合約 1100 萬美元）贖金，如果唔係就會將資料公諸於世。

而佢地過往嘅攻撃，多數都係利用代管服務供應商嘅系統漏洞，或攻擊Windows遠端桌面協定（RDP）連線嚟進行電腦入侵，拎到受害者網域管理員權限之後偷走資料，然後再利用原生嘅Windows管理員工具，好似係PowerShell或Windows群組原則物件（GPO），喺網路入面橫向移動，最後就入侵埋Windows用戶同伺服器，繼而進行資料勒索。

不過研究人員就發現，Ragnar Locker近日嘅攻擊唔同咗，佢地利用GPO程序執行Microsoft 安裝程式（msiexec.exe），由遠端Web伺服器偷偷下載兼安裝122MB未經數位簽章過嘅MSI套件，裡面包含兩個檔案，一個係舊版Oracle VirtualBox hypervisor（Sun xVM VirtualBox 3.0.4版本），另一個係Windows XP SP3精簡版（MicroXP v0.82）映像檔，檔案名係micro.vdi，另外仲包含49KB嘅Ragnar Locker勒索軟體執行檔。（詳細方法可參看下圖）

齊晒腳之後，黑客就會利用一個腳本程式關閉電腦嘅安全偵測同通知服務，令到本機磁碟、可移除磁碟同網路磁碟機中門大開，解除埋應用程式同資料庫等等嘅防禦功能，最後Ragnar Locker就可以輕鬆將資料全部加密。

之前都有網絡安全供應商發現，而家有啲勒索軟件可以將防毒軟體關閉，或迫使電腦進入安全模式嚟避免被偵測。企業唔想咁易中招，可以加強員工嘅網絡安全意識培訓、定時備份資料、做好數據加密技術，以及設定離線備份嘅裝置，咁就可以「遇怪魔都識變大個」啦！

資料來源： https://bit.ly/3dJI3Az、https://bit.ly/2BJNVvu

相關文章：【大件事】Bossini、c!ty’super成為勒索軟件攻擊目標？