※ 本文為 MindOcean 轉寄自 ptt.cc 更新時間: 2020-06-16 09:13:27
看板 Gossiping
作者 標題 [新聞] 新版Thanos勒索軟體服務採用了可繞過大多
時間 Mon Jun 15 10:46:31 2020
ithome
文/陳曉莉 | 2020-06-15發表
新版Thanos勒索軟體服務採用了可繞過大多數防毒軟體的RIPlace技術
去年11月揭露的RIPlace攻擊技術,能讓勒索軟體靠開採Windows作業系統的設計漏洞,來
破壞受駭單位的原始檔案,當時尚未發現有勒索軟體採用該技術,不過,近期新版Thanos
勒索軟體已加入RIPlace技術,即使號稱可偵測勒索軟體的十多種防毒工具,也無法識破
其攻擊行動
破壞受駭單位的原始檔案,當時尚未發現有勒索軟體採用該技術,不過,近期新版Thanos
勒索軟體已加入RIPlace技術,即使號稱可偵測勒索軟體的十多種防毒工具,也無法識破
其攻擊行動
https://imgur.com/tmaKcf9
![[圖]](https://i.imgur.com/tmaKcf9.jpg)
資安業者Nyotron在去年11月揭露了可供勒索軟體繞過安全偵測機制的RIPlace技術,當時
尚未有任何勒索軟體採用該技術,不過,另一資安業者Recorded Future最近發現,新版
的Thanos勒索軟體已經加入了RIPlace技術,還把它納入「企業版」功能中。
尚未有任何勒索軟體採用該技術,不過,另一資安業者Recorded Future最近發現,新版
的Thanos勒索軟體已經加入了RIPlace技術,還把它納入「企業版」功能中。
Nyotron解釋,勒索軟體的攻擊有三個標準步驟,先開啟及讀取原始檔案,再於記憶體中
加密檔案,繼之破壞原始檔案。而破壞原始檔案的方法有3種,把加密檔案寫進原始檔案
中;或是直接將加密檔案存入硬碟,再利用DeleteFile功能刪除原始檔案;也能選擇把原
始檔案存入硬碟,再透過Rename功能置換原始檔案,幾乎所有駭客都採用前面兩種,而第
三種則屬於Windows作業系統的設計漏洞,尚未被駭客利用,但只需要兩行程式就能開採
,並將它命名為RIPlace技術。
加密檔案,繼之破壞原始檔案。而破壞原始檔案的方法有3種,把加密檔案寫進原始檔案
中;或是直接將加密檔案存入硬碟,再利用DeleteFile功能刪除原始檔案;也能選擇把原
始檔案存入硬碟,再透過Rename功能置換原始檔案,幾乎所有駭客都採用前面兩種,而第
三種則屬於Windows作業系統的設計漏洞,尚未被駭客利用,但只需要兩行程式就能開採
,並將它命名為RIPlace技術。
當時Nyotron還公布了RIPlace的概念性驗證攻擊程式,而且測試了坊間號稱可偵測勒索軟
體的十多種防毒工具,發現它們全都無法逮到透過RIPlace技術所執行的攻擊行動。
而Recorded Future則發現,外號為Nosophoros的駭客今年1月在地下論壇中兜售的Thanos
勒索軟體,便採用了RIPlace技術,很可能是市場上第一個採用RIPlace的勒索軟體。
駭客將Thanos定位為勒索軟體產生器,具備43種配置選項,還提供只訂閱一個月的輕量版
(Light),以及可訂閱整個Thanos生命周期的企業版(Company),而進階的RootKit、
RIPlace或是在目標組織中橫向移動的功能,都只出現在企業版中。
(Light),以及可訂閱整個Thanos生命周期的企業版(Company),而進階的RootKit、
RIPlace或是在目標組織中橫向移動的功能,都只出現在企業版中。
Recorded Future預期,勒索軟體即服務(ransomware-as-a-service)的市場將會繼續茁
壯,且訂閱輕量版的用戶都能成為Thanos會員,而Thanos的企業客戶,則能建立自己的勒
索軟體即服務業務。
壯,且訂閱輕量版的用戶都能成為Thanos會員,而Thanos的企業客戶,則能建立自己的勒
索軟體即服務業務。
https://www.ithome.com.tw/news/138229
小心了,新版Thanos勒索軟體服務採用了可繞過大多數防毒軟體的RIPlace技術 | iThome
![[圖]]()
去年11月揭露的RIPlace攻擊技術,能讓勒索軟體靠開採Windows作業系統的設計漏洞,來破壞受駭單位的原始檔案,當時尚未發現有勒索軟體採用該技術,不過,近期新版Thanos勒索軟體已加入RIPlace技術,即使號稱可偵測勒索軟體的十多種防毒工具,也無法識破其攻擊行動 ...
![[圖]](https://s4.itho.me/sites/default/files/field/image/0615-thanos.jpg)
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 125.227.139.247 (臺灣)
※ 文章代碼(AID): #1Uvk4Bks (Gossiping)
※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1592189195.A.BB6.html
推 : yo叔參與製作1F 06/15 10:47
推 : 它會刪除電腦一半檔案嗎2F 06/15 10:47
推 : 技術指導: yo叔3F 06/15 10:48
推 : yo叔私一下source code4F 06/15 10:48
推 : 先逮捕yo叔 嫌疑重大5F 06/15 10:49
推 : yo叔幫忙的嗎?6F 06/15 10:49
推 : yoyodiy==7F 06/15 10:49
→ : give me thanos !8F 06/15 10:50
→ Julian9x9x9 …
推 : yo叔不要擔心,我會照顧你女兒的10F 06/15 10:56
推 : everything11F 06/15 10:57
→ : 滅霸沒在給你繞過的12F 06/15 10:58
→ : Yo叔出來自首好嗎13F 06/15 10:59
推 : 技術顧問:yoyodiy14F 06/15 10:59
→ : rip thanos15F 06/15 11:00
推 : yo為何提供技術給壞人 請交出女兒向鄉民道歉16F 06/15 11:02
→ : 勤備份是面對病毒唯一解,如同疫苗面對支那肺炎一樣17F 06/15 11:04
推 : yoyo傑作18F 06/15 11:06
推 : Thanos都直接打爆你的防毒,哪會繞過去19F 06/15 11:13
推 : yo叔出來面對20F 06/15 11:16
→ : 各家工程師:幹!21F 06/15 11:19
→ : m$:不錄了22F 06/15 11:22
推 : 一半的電腦都被消滅了嗎23F 06/15 11:23
推 : 復仇者防毒軟體才能擋住24F 06/15 11:24
推 : 這集我看過 之後會時空攔截25F 06/15 11:34
推 : yo叔可以私一下原始碼嗎26F 06/15 11:42
→ : Rip27F 06/15 11:43
推 : 所以這駭客的帳號是不是 yo 開頭的?28F 06/15 12:06
推 : yo叔回去顧你的農作物辣29F 06/15 12:15
推 : 防毒軟體 Assemble30F 06/15 12:23
推 : yo 叔可以救救世界嗎?31F 06/15 13:11
推 : yoyodiy: I am inevitable32F 06/15 13:28
→ : 釣33F 06/15 13:46
→ : Yo叔 繞這個也不能阻止山羌的啦34F 06/15 15:41
→ : 想弄勒索軟體還要付錢XDDD35F 06/15 16:57
--
※ 看板: Gossiping 文章推薦值: 1 目前人氣: 0 累積人氣: 553
作者 nk11208z 的最新發文:
![]()
英國「金融時報」報導,美國紐約證券交易所針對是否值得讓股票交易24小時運作,正在 調查市場參與者意見。時值美國監管當局正在審查全球首個一週7天全天候開市交易所申 請案。 「金融時報」(Financia …74F 48推 3噓- 21F 9推
點此顯示更多發文記錄
( ̄︶ ̄)b leon999su 說讚!
2樓 時間: 2020-06-15 13:57:24 (台灣)
→
06-15 13:57 TW
yoyo叔有參加犯罪計畫嗎,如果有,請把櫻交給我照顧,不然你入獄的話女兒沒人照顧很可憐的
回列表(←)
分享