吳明宜擴散速度超快的「量子」勒索軟體 不用4小時就感染全網域
惡意軟體愈來愈難以防禦。安全研究人員發現一隻新勒索軟體,從駭入企業網路到全網域感染只花了不到4小時。
一名以DFIR為代號的安全研究人員近日發現一樁攻擊行動,攻擊者利用電子郵件散佈金融木馬IcedID,之後再於受害組織網域部署名為「量子」(Quantum)的勒索軟體勒索用戶,整個過程僅3小時44分,是歷來速度最快的感染行動。
研究人員相信,第一步駭客是以電子郵件挾帶IcedID。IcedID是一隻金融木馬,之前已被不少駭客組織用來植入勒索軟體,像是XingLocker、Conti及REVil/Sodinokibi。一旦IcedID進入用戶電腦並執行後,攻擊者即啟動惡意活動,利用Cobalt Strike和RDP程式在受害者網路上橫向移動,再利用WMI及PsExec植入名為「量子」的勒索軟體。
研究人員判斷,IcedID是隨電子郵件附加的ISO映像檔而來。該ISO檔包含IcedID DLL檔及LNK捷徑檔,這個LNK檔偽裝成名為document的檔案,一經用戶點擊即執行DLL檔。而在執行IcedID DLL檔時,就帶動以Windows公用程式如ipconfig, systeminfo、nltest、 net和chcp執行發現探勘的任務,同時建立排程任務以在受害電腦上長期滲透。
2小時後,攻擊者透過行程掏空(process hollowing)和注入(injection)手法部署滲透測試工具Cobalt Strike,開啟hands on keyboard過程。這過程旨在蒐集網路環境資訊、從LSASS記憶體取得登入憑證。他們利用這些憑證測試能否連上網路中的伺服器。若測試為有效,即在伺服器植入PowerShell Cobalt Strike Beacon,作用在使伺服器連上駭客C&C伺服器。
接下來的時間內,攻擊者使C&C伺服器以RDP連線連上其他網路伺服器。最後將Quantum勒索軟體以 WMI 和PsExec兩種協定複製到所有主機上網路芳鄰資料夾中。從一開始的IceID植入到複製勒索軟體到受害網路上所有伺服器,整個過程不到4小時。
受害者唯有在看到勒索軟體文字訊息後才驚覺自己的資料已被加密。研究人員還不清楚資料怎麼送出去,但懷疑可能是經由IcedID或Cobalt Strike傳送。