微軟揭露macOS 系統  四大勒索軟體攻擊策略

編譯／鄭智懷

微軟（Microsoft）旗下的資安團隊安全威脅情報（Security Threat Intelligence）近期發表最新報告，說明四大針對macOS 系統的勒索軟體─KeRanger、FileCoder、MacRansom 和 EvilQuest─已知的攻擊策略。

該團隊表示，雖然KeRanger等惡意軟體存在已久，「但其擁有可能存在的各種惡意功能與行動。」

報告指出，四大勒索軟體感染目標後，主要運用兩種方式搜尋要加密的文件：FileCoder 和 MacRansom針對二進制檔案；KeRanger 和 EvilQuest則使用程式館函數（library function）。

其次，KeRanger、MacRansom 和 EvilQuest具有分析惡意軟體是否能在目標設備中運作，抵制或調適安全設置的功能。而KeRanger甚至採用延遲啟動的技術，在程式啟動後隨即休眠三天以逃避資安工具的檢測。

該團隊進一步分析指出，EvilQuest 和 MacRansom開方商為了確保惡意程式在感染設備重啟後仍能運行，或是再度修改被監視的檔案，開發出代理程式（launch agent）與系統核心佇列（kernel queues）功能。

四大勒索軟體的初始向量（initial vector）─亦即亂碼加密─的模式主要透過受害者下載並安裝具有木馬的惡意軟體，以及在感染後使目標設備得到最高酬載。具體而言，FileCoder使用ZIP程式；KeRanger使用加密區塊鍊接（cipher block chaining）；MacRansom和EvilQuest都使用對稱式加密（symmetric encryption）。

此外，相較於其他典型的勒索軟體，EvilQuest在2020年7月被發現後，資安專家觀察到該軟體還擁有鍵盤紀錄、竊取資訊，以及禁止使用資安工具等不同的功能。

報告最後提到：「勒索軟體仍然是影響組織的最普遍和最有影響力的威脅之一，攻擊者不斷發展相關技術並擴展交易技巧以攻擊更廣泛的潛在目標。」

資料來源：The Hacker News

瀏覽 583 次