吳明宜惡意軟體愈來愈難以防禦。安全研究人員發現一隻新勒索軟體,從駭入企業網路到全網域感染只花了不到 4 小時。
一名以 DFIR 為代號的安全研究人員近日發現一樁攻擊行動,攻擊者利用電子郵件散佈金融木馬 IcedID,之後再於受害組織網域部署名為「量子」(Quantum) 的勒索軟體勒索用戶,整個過程僅 3 小時 44 分,是歷來速度最快的感染行動。
研究人員相信,第一步駭客是以電子郵件挾帶 IcedID 。 IcedID 是一隻金融木馬,之前已被不少駭客組織用來植入勒索軟體,像是 XingLocker 、 Conti 及 REVil/Sodinokibi 。一旦 IcedID 進入用戶電腦並執行後,攻擊者即啟動惡意活動,利用 Cobalt Strike 和 RDP 程式在受害者網路上橫向移動,再利用 WMI 及 PsExec 植入名為「量子」的勒索軟體。
研究人員判斷,IcedID 是隨電子郵件附加的 ISO 映像檔而來。該 ISO 檔包含 IcedID DLL 檔及 LNK 捷徑檔,這個 LNK 檔偽裝成名為 document 的檔案,一經用戶點擊即執行 DLL 檔。而在執行 IcedID DLL 檔時,就帶動以 Windows 公用程式如 ipconfig, systeminfo 、 nltest 、 net 和 chcp 執行發現探勘的任務,同時建立排程任務以在受害電腦上長期滲透。
2 小時後,攻擊者透過行程掏空 (process hollowing) 和注入 (injection) 手法部署滲透測試工具 Cobalt Strike,開啟 hands on keyboard 過程。這過程旨在蒐集網路環境資訊、從 LSASS 記憶體取得登入憑證。他們利用這些憑證測試能否連上網路中的伺服器。若測試為有效,即在伺服器植入 PowerShell Cobalt Strike Beacon,作用在使伺服器連上駭客 C&C 伺服器。
接下來的時間內,攻擊者使 C&C 伺服器以 RDP 連線連上其他網路伺服器。最後將 Quantum 勒索軟體以 WMI 和 PsExec 兩種協定複製到所有主機上網路芳鄰資料夾中。從一開始的 IceID 植入到複製勒索軟體到受害網路上所有伺服器,整個過程不到 4 小時。
受害者唯有在看到勒索軟體文字訊息後才驚覺自己的資料已被加密。研究人員還不清楚資料怎麼送出去,但懷疑可能是經由 IcedID 或 Cobalt Strike 傳送。