卡巴斯基研究人员发现一款新的名为Sodin的加密勒索软件,该恶意软件会利用最近发现的零日Windows漏洞在受感染系统中获得提升权限,并利用中央处理单元(CPU)架构来避免被检测出来——而后一种功能在勒索软件中并不常见。不仅如此,在某些情况下,恶意软件不需要用户交互,攻击者就可以将其植入易受攻击的服务器上。
勒索软件是一种持久的网络威胁,这种恶意软件会加密或锁定数据或设备,之后索要赎金。这种威胁危及全球各种规模的组织和个人。大多数安全解决方案能够检测众所周知的勒索软件版本和已知的攻击媒介。但是,像Sodin这种使用复杂的(涉及利用最近发现的Windows漏洞(CVE-2018-8453)来提升权限的攻击手段,可能在一段时间内不会引起怀疑。
这款恶意软件似乎是RAAS(勒索软件即服务)计划的一部分,这意味着其分发者可以任意选择该恶意软件的传播方式。有迹象表明恶意软件是通过联盟计划分发的。例如,恶意软件的开发人员在恶意软件功能中留下了一个漏洞,允许他们在联盟机构不知情的情况下解密文件:“主密匙”不需要分发者的密匙就可以解密文件(而通常情况下,在受害者支付赎金后,使用分发者密匙来解密受害者文件)。开发者可能使用这一功能来控制受害者数据的解密或勒索软件的分发,例如,通过让恶意软件无效来将某些分发者从联盟计划中剔除。
不仅如此,勒索软件通常需要用户进行某种形式的互动,例如打开一个邮件附件或点击一个恶意链接。但是使用Sodin进行的攻击无需用户的参与:他们通常会找到一个包含漏洞的服务器,并发送一个命令来下载名为"radm.exe"的恶意文件。将恶意软件保存在本地并执行它。
Sodin勒索软件的大多数攻击目标都位于亚洲地区:在台湾检测到的工具占17.6%,香港为9.8%,韩国为8.8%。但是,我们在欧洲、北美洲和拉丁美洲也发现了相关攻击。该勒索软件会在受感染计算机上留下一份勒索信,要求每个受害者支付价值2500美元的比特币。
让Sodin变得更难检测的另一个原因是该恶意软件使用了“天堂之门”技术。这种技术能够让恶意程序从32位运行进程中执行64位代码,这种做法并不常见,而且通常不会出现在勒索软件中。
研究人员认为Sodin使用天堂之门技术的原因主要有两个:
· 让分析恶意代码变得更为困难——并非所有的“调试人员”(代码审查人员)都支持这种技术,所以无法识别出来。
· 躲避安装的安全解决方案的检测。这种技术被用于绕过基于模拟的检测,这是一种发现以前未知的威胁的方法,涉及在类似(模拟)真实计算机的虚拟环境中启动行为可疑的代码。
“勒索软件是一种很常见的恶意软件类型,但我们通常不会看到如此精细和复杂的版本:使用CPU架构躲避检测,这种手段很少被勒索软件所使用。我们预测与Sodin勒索软件相关的攻击数量将会上升,因为要打造这样一个恶意软件需要大量资源。投资开发这一恶意软件的网络罪犯肯定希望获得巨大的回报,”卡巴斯基安全研究员Fedor Sinitsyn受。
卡巴斯基安全解决方案将这种勒索软件检测为Trojan-Ransom.Win32.Sodin. 该勒索软件利用的漏洞CVE-2018-8453是卡巴斯基技术在野外早期检测到的,研究人员认为FruityArmor 黑客组织正在利用该漏洞。该漏洞已于2018年10月10日被修补。
为避免成为Sodin威胁的受害者,卡巴斯基研究人员建议企业采取以下措施:
· 确保您的企业中使用的软件定期更新到最新版本。具有漏洞评估和修补程序管理功能的安全产品有助于自动执行这些过程。
· 使用强大的具备基于行为检测功能的安全解决方案(例如卡巴斯基网络安全解决方案),以更有效地应对已知和未知威胁,包括漏洞利用程序。