看板 Gossiping作者 nk11208z (小魯)標題 [新聞] 新版Thanos勒索軟體服務採用了可繞過大多時間 Mon Jun 15 10:46:31 2020
ithome
文/陳曉莉 | 2020-06-15發表
新版Thanos勒索軟體服務採用了可繞過大多數防毒軟體的RIPlace技術
去年11月揭露的RIPlace攻擊技術,能讓勒索軟體靠開採Windows作業系統的設計漏洞,來
破壞受駭單位的原始檔案,當時尚未發現有勒索軟體採用該技術,不過,近期新版Thanos
勒索軟體已加入RIPlace技術,即使號稱可偵測勒索軟體的十多種防毒工具,也無法識破
其攻擊行動
https://imgur.com/tmaKcf9
資安業者Nyotron在去年11月揭露了可供勒索軟體繞過安全偵測機制的RIPlace技術,當時
尚未有任何勒索軟體採用該技術,不過,另一資安業者Recorded Future最近發現,新版
的Thanos勒索軟體已經加入了RIPlace技術,還把它納入「企業版」功能中。
Nyotron解釋,勒索軟體的攻擊有三個標準步驟,先開啟及讀取原始檔案,再於記憶體中
加密檔案,繼之破壞原始檔案。而破壞原始檔案的方法有3種,把加密檔案寫進原始檔案
中;或是直接將加密檔案存入硬碟,再利用DeleteFile功能刪除原始檔案;也能選擇把原
始檔案存入硬碟,再透過Rename功能置換原始檔案,幾乎所有駭客都採用前面兩種,而第
三種則屬於Windows作業系統的設計漏洞,尚未被駭客利用,但只需要兩行程式就能開採
,並將它命名為RIPlace技術。
當時Nyotron還公布了RIPlace的概念性驗證攻擊程式,而且測試了坊間號稱可偵測勒索軟
體的十多種防毒工具,發現它們全都無法逮到透過RIPlace技術所執行的攻擊行動。
而Recorded Future則發現,外號為Nosophoros的駭客今年1月在地下論壇中兜售的Thanos
勒索軟體,便採用了RIPlace技術,很可能是市場上第一個採用RIPlace的勒索軟體。
駭客將Thanos定位為勒索軟體產生器,具備43種配置選項,還提供只訂閱一個月的輕量版
(Light),以及可訂閱整個Thanos生命周期的企業版(Company),而進階的RootKit、
RIPlace或是在目標組織中橫向移動的功能,都只出現在企業版中。
Recorded Future預期,勒索軟體即服務(ransomware-as-a-service)的市場將會繼續茁
壯,且訂閱輕量版的用戶都能成為Thanos會員,而Thanos的企業客戶,則能建立自己的勒
索軟體即服務業務。
https://www.ithome.com.tw/news/138229
--
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 125.227.139.247 (臺灣)
※ 文章代碼(AID): #1Uvk4Bks (Gossiping)
※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1592189195.A.BB6.html
推 johnny3: 它會刪除電腦一半檔案嗎2F 06/15 10:47
推 pdz: yo叔私一下source code4F 06/15 10:48
→ AlianF: give me thanos !8F 06/15 10:50
推 DPP48: yo叔不要擔心,我會照顧你女兒的10F 06/15 10:56
推 alloc: everything11F 06/15 10:57
→ hw1: 滅霸沒在給你繞過的12F 06/15 10:58
→ yashiro: 勤備份是面對病毒唯一解,如同疫苗面對支那肺炎一樣17F 06/15 11:04
推 Twopoint2: Thanos都直接打爆你的防毒,哪會繞過去19F 06/15 11:13
推 kprc: yo叔出來面對20F 06/15 11:16
推 Yan5566: 這集我看過 之後會時空攔截25F 06/15 11:34
推 wz70403: yo叔可以私一下原始碼嗎26F 06/15 11:42
推 AkikaCat: 所以這駭客的帳號是不是 yo 開頭的?28F 06/15 12:06
推 bibiwei: 防毒軟體 Assemble30F 06/15 12:23
推 return7683: yoyodiy: I am inevitable32F 06/15 13:28
→ Siu: 想弄勒索軟體還要付錢XDDD35F 06/15 16:57
--