新闻快讯
< >

新型“无文件”+代码注入勒索软件SOREBRECT现江湖

E安全6月21日讯 Trend Micro安全研究人员警告称,新浮现一款名为“SOREBRECT”的勒索软件,其结合了“无文件”攻击和代码注入两种攻击方式。

新型“无文件”+代码注入勒索软件SOREBRECT现江湖-E安全

攻击方式

Trend Micro公司表示,几个月前,SOREBRECT设法感染中东组织机构的网络和系统被发现。这款勒索软件具备不寻常的加密技术,滥用PsExec公用程序利用代码注入,同时还注重隐身。

SOREBRECT装有自毁程序,将自身变成“无文件”威胁,即终止主要的二进制文件之前,将代码注入合法系统进程。此外,这款软件会尽可能删除受影响系统的事件日志和其它项目产生文档(Artifact),以阻碍取证分析,阻止研究人员追踪威胁活动。

受威胁的国家

被发现时,SOREBRECT的目标主要集中在科威特和黎巴嫩等中东国家。然而,在WannaCry肆虐之前,这款恶意软件就已经出现在加拿大、中国(包括中国台湾地区)、克罗地亚、意大利、日本、墨西哥、俄罗斯和美国的电脑中,感染的行业包括制造业、技术和电信行业。

Trend Micro表示,考虑到勒索软件的潜在影响和盈利能力,SOREBRECT出现在其它地方、甚至网络犯罪地下市场都不足为奇。

攻击期间,这款恶意软件会滥用PsExec。这就意味着,攻击者已经获取了管理员登录凭证,使远程设备暴露或遭受蛮力攻击。

SOREBRECT勒索软件

SOREBRECT并非首个滥用PsExec的勒索软件家族,其它这类勒索软件还包括SamSam和Petya。 PetrWrap也曾滥用该公用程序在被感染服务器或端点上安装Petya勒索软件。但区别在于,SOREBRECT这种新型威胁会恶意部署PsExec,并执行代码注入。

E安全百科PsExec,轻型的 telnet 替代工具,无需手动安装客户端软件即可执行其他系统上的进程,并且可以获得与控制台应用程序相当的完全交互性。是系统管理员执行命令或在远程系统运行可执行文件使用的合法Windows命令行公用程序。

新型“无文件”+代码注入勒索软件SOREBRECT现江湖-E安全

Trend Micro解释称,SOREBRECT将代码注入Windows的svchost.exe进程,但主要的二进制文件会自毁。部署的勒索软件二进制文件一旦结束执行并自我终止,注入的svchost.exe(合法的Windows服务托管系统进程)会恢复执行加密有效载荷。

研究人员还认为,相比远程桌面协议(RDP),这款勒索软件的代码注入功能使攻击更有效。攻击者通过PsExec可以远程执行命令,而不是提供登录会话或手动将此恶意软件转移到目标设备。

SOREBRECT还使用wevtutil.exe删除系统事件日志和vssadmin,以删除卷影副本(Shadow Copies),从而掩盖行踪,并防止用户恢复文件。此外,这款恶意软件还使用TOR网络与C&C服务器通信。

研究人员警告称,SOREBRECT还可以加密网络共享文件,即SOREBRECT会扫描网络寻找资产,并枚举开放式共享(包括文件夹、内容或通过该网络易访问的外围设备),之后它会启动到共享的连接,无论读取和写入访问是否可用,这款恶意软件都会对发现的共享进行加密。

保护措施

E安全建议IT/系统管理员:

  • 限制用户写入权限。

  • 限制PsExec特权。

  • 随时备份文件。

  • 升级系统和网络降低遭受攻击的概率。

  • 员工的安全常识培训。

  • 部署多层安全机制。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。