账号:
密码:
最新动态
产业快讯
CTIMES/SmartAuto / 新闻 /
Sophos分享如何侦测和防御 REvil勒索软体
 

【CTIMES / SMARTAUTO ABC_1 报导】    2021年06月18日 星期五

浏览人次:【2630】

REvil,也称为 Sodinokibi,是一种成熟且被广为使用的勒索软体即服务 (RaaS) 产品。犯罪分子可以向开发者租用勒索软体,新增自己的锁定目标,再将勒索软体散布到受害者的电脑。因此,REvil 勒索软体攻击的方法和影响力是高度可变的,具体取决于租用者的工具、行为、资源和技能。

Sophos 研究人员发现的REvil攻击工具和行为包括:

透过暴力破解攻击已知的网际网路服务,如 VPN、远端桌面通讯协定 (RDP)、桌面远端管理工具 (如 VNC),甚至是一些以云端为基础的管理系统;滥用透过恶意软体或网路钓鱼取得的凭证;也会只将装载附加到目标网路上已经存在的其他恶意软体

-使用 Mimikatz 取得网域系统管理员的凭证和提升权限

-透过停用或删除备份、停用安全技术,以及找出欲加密的目标电脑,为后续散布勒索软体打下基础

-上传大量外泄资料 — 尽管 Sophos 研究人员只在约半数 REvil/Sodonokibi 调查事件中看到这个行为。在有资料被窃的案件中下,大约四分之三的攻击使用 Mega.nz 作为被窃资料的 (临时) 存放区

-在资料加密之前,将电脑重新启动到安全模式以绕过端点保护工具

Sophos 首席研究员 Andrew Brandt 表示,REvil/Sodinokibi 是出现以久的常见勒索软体,造成许多破坏并索求数百万美元的赎金。它的成功或许建立在一点,即这种勒索软体即服务产品所发动的攻击每次都是不同的。防御人员很难知道什么才是需要注意的警告信号。

根据 Sophos Rapid Response的调查结果,部署REvil勒索软体的攻击者可能会采人为进行且非常持久。在该团队最近调查的一次REvil攻击中,从受感染伺服器收集的资料显示,在五分钟内就遭到大约 35,000次失败的登入尝试,来自全球349个唯一的 IP 地址。

此外值得注意的是,勒索软体的发展不仅越来越复杂,而且密度越来越高。在Sophos 研究人员看到的两次REvil攻击中,最初的进入点是另一个攻击者在早期勒索软体攻击时留下的后门。

防御人员可以采取一些措施来保护他们的企业、网路和端点。最理想的情况,就是阻止攻击者进入网路。但这一点不容易办到,因此还必须进行有效的侦测。如果能早期侦测到入侵者的存在,就可以阻止攻击进一步展开。

關鍵字: 勒索软体  Sophos 
comments powered by Disqus
相关讨论


刊登廣告 新聞信箱 读者信箱 著作權聲明 隱私權聲明 本站介紹

Copyright ©1999-2024 远播信息股份有限公司版权所有 Powered by O3  v3.20.1.HK8BP74QW5GSTACUKE
地址:台北数位产业园区(digiBlock Taipei) 103台北市大同区承德路三段287-2号A栋204室
电话 (02)2585-5526 #0 转接至总机 /  E-Mail: webmaster@ctimes.com.tw