微軟揭露macOS 系統 四大勒索軟體攻擊策略
編譯/鄭智懷
微軟(Microsoft)旗下的資安團隊安全威脅情報(Security Threat Intelligence)近期發表最新報告,說明四大針對macOS 系統的勒索軟體─KeRanger、FileCoder、MacRansom 和 EvilQuest─已知的攻擊策略。
該團隊表示,雖然KeRanger等惡意軟體存在已久,「但其擁有可能存在的各種惡意功能與行動。」
報告指出,四大勒索軟體感染目標後,主要運用兩種方式搜尋要加密的文件:FileCoder 和 MacRansom針對二進制檔案;KeRanger 和 EvilQuest則使用程式館函數(library function)。
其次,KeRanger、MacRansom 和 EvilQuest具有分析惡意軟體是否能在目標設備中運作,抵制或調適安全設置的功能。而KeRanger甚至採用延遲啟動的技術,在程式啟動後隨即休眠三天以逃避資安工具的檢測。
該團隊進一步分析指出,EvilQuest 和 MacRansom開方商為了確保惡意程式在感染設備重啟後仍能運行,或是再度修改被監視的檔案,開發出代理程式(launch agent)與系統核心佇列(kernel queues)功能。
四大勒索軟體的初始向量(initial vector)─亦即亂碼加密─的模式主要透過受害者下載並安裝具有木馬的惡意軟體,以及在感染後使目標設備得到最高酬載。具體而言,FileCoder使用ZIP程式;KeRanger使用加密區塊鍊接(cipher block chaining);MacRansom和EvilQuest都使用對稱式加密(symmetric encryption)。
此外,相較於其他典型的勒索軟體,EvilQuest在2020年7月被發現後,資安專家觀察到該軟體還擁有鍵盤紀錄、竊取資訊,以及禁止使用資安工具等不同的功能。
報告最後提到:「勒索軟體仍然是影響組織的最普遍和最有影響力的威脅之一,攻擊者不斷發展相關技術並擴展交易技巧以攻擊更廣泛的潛在目標。」
資料來源:The Hacker News
瀏覽 647 次