跨平台勒索軟體Babuk朝VMware、Unix/Linux而來 程式沒寫好導致⋯⋯

安全廠商McAfee發現勒索軟體開始發展跨平台能力,攻擊Linux/Unix及ESXi系統。但同時間,他們也發現Babuk的程式缺陷,使得受害者即使付了贖金也不見得能救回檔案。

安全廠商McAfee發現勒索軟體開始發展跨平台能力,攻擊Linux/Unix及ESXi系統。但同時間,他們也發現Babuk的程式缺陷,使得受害者即使付了贖金也不見得能救回檔案。

McAfee的研究人員Thiabult Seret和Northwave公司的Noël Keijzer 發現許多知名公司的Unix、Linux後端核心系統遭到Babuk感染。有趣的是,其二進位程式卻是有問題的。研究人員相信這是勒索軟體正在實驗以跨平台程式語言Golang (Go)撰寫二進位程式之故。受害者的資料被有問題的二進位檔或解密器搞到「無法修復」,即使受害者付了贖金也不見得能救回檔案。

Babuk攻擊一般包含三個階段:初始階段、網路繁殖及對目標行動。Babuk四月被查緝之前也執行勒索軟體即服務(ransom as a service)模式。Northwave調查,Babuk是經由CVE-2021-27065漏洞執行攻擊,今年三月攻擊Exchange Server的Hafnium也曾利用這個漏洞。

研究人員指出,Babuk一旦叩入大門,就會在受害系統中植入Cobalt Strike後門程式,攻擊者一般會用它來重覆存取系統。Northwave發現網路上多台重要系統被植入多個後門程式。而在攻擊後半段,攻擊者利用zer0dump取得網域管理員登入密碼,在某些系統上建立本地管理員帳號作為滲透攻擊據點,之後跨系統移動。

首先,他們利用RDP服務在Windows系統間橫向移動,在Linux系統間以SSH服務,而從Windows到Linux間則以WinSC傳送檔案。攻擊者分別從網際網路或代管網站下載惡意工具,此外也利用DFine、NetScan、LAN Search Pro這些工具在受害系統內搜尋,並將資料以壓縮檔傳到外部Mega及Google Drive網站。

一旦資料傳出去後,攻擊者就會摧毁受害者系統內的資料備份,然後轉向VMware ESXi主機,最後安裝勒索軟體二進位檔。這個二進位檔會加密所有虛擬機器,在此之前都算是「正常的」勒索軟體行為,然而研究人員也發現異常。

有瑕疵的惡意程式

根據McAfee分析,這個二進位檔寫得很差,有很多設計上的漏洞,最終導致無法修復的資料毁損。研究人員分析了Babuk的解密程式,說明它在資料解密過程中會發生失敗,造成資料無法回復。

研究人員相信,這是駭客正在這些機器上進行Golang程式開發的beta測試。但是程式撰寫太差也將影響Babuk和同夥的關係,後者幫忙駭入受害者機器,卻面臨受害者付了錢無法解密檔案的窘境,這也會影響勒索軟體產業的生態關係,很不上道。

4月底Babuk在太歲頭上動土,攻擊華盛頓特區警察署企圖勒索,不過並未成功,但這促使Babuk的操控者決定改弦易轍,未來不加密系統,只竊取資料。他們會將不付贖金的受害組織資料公佈出來,以及將資料提供給其他組織,儼然轉為資料管理商的角色。攻擊者也說會將Babuk程式碼以開放原始碼專案釋出,公佈程式碼。

在「轉型」後,Babuk的操控者於5月外洩電玩《電馭叛客2077》的程式碼,隨後轉趨沈寂。

研究人員呼籲企業小心系統中是否有滲透測試工具,像是winPEAS、Bloodhound、SharpHound,或是駭客常見框架工具,如CobaltStrike、Metasploit、Empire或 Covenant等。

來源:ZDNet

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2022 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416