【51CTO.com快译】去年12月,以德语用户,尤其是人事部门工作人员为攻击目标的勒索软件RANSOM_GOLDENEYE.A被发现。Petya(RANSOM_PETYA)与Mischa(RANSOM_MISCHA)两种勒索软件的结合体GoldenEye取名于詹姆·斯邦德007系列的题目,且该勒索软件的攻击向量(attack vector)也如影片所述。
勒索软件在进入瓶颈期的威胁环境中维持着它强大的生命力并且多样地变换攻击目标。GoldenEye通过模仿恶意软件,反映了正在努力扩大攻击范围、影响力和收益的攻击者的活动现况。
除GoldenEye以外,德国的垃圾邮件活动、Cerber (RANSOM_CERBER)、Petya(RANSOM_PETYA)和Locky (RANSOM_LOCKY)的检测率在逐渐增高,虽然这些恶意软件的“标题党”为德语,但是其威胁程度与影响力对所有用户都一样高。
根据Smart Protection Network的消息,2016年1月至11月期间,勒索软件检测率最高的欧洲国家是德国、土耳其、意大利、西班牙与法国。
德国1/3的勒索软件在恶意URL中发现,感染向量大部分(63%)是垃圾邮件。Locky相关的恶意URL在11月第二周发现700条以上,从11月最后一周至12月中旬被拦截和监视的URL达到400条。GoldenEye跟Petya、HDDCryptor一样,也可以覆盖系统的MBR(master boot record,主引导记录)。该勒索软件通过伪装成就业应聘者信件的邮件进行传播,以伪装成简历的包含PDF文件和恶意宏(macro)的电子表格程序形态进行传播。
[图1 GoldenEye传播的附有XLS文件的垃圾邮件(右)和伪造PDF(左)]
最近在德国发现了又一起向潜在被害者发动金钱劫持攻击的恶意活动,攻击者制作伪装成科隆网络调查队发送的邮件,收件人以诈骗嫌疑被起诉,诱导收件人打开附件。这其实是诱导用户下载模仿Cerber的勒索软件(RANSOM_ HiddenTearCerber.A),其中包含有插入了恶意宏的Word®文件的.ZIP文件(W2KM_CERBER.DLBZY)。该模仿勒索软件向人们展示了变型的恶意软件是如何模仿用户界面,利用与CryptXXX、Locky、Cerber相同的恶意软件家族的恶名与成功为跳板来提高攻击者们的收益的。Cerber模仿恶意软件基于开源勒索软件Hidden Tear制作而成,为了避开检测制作成三段。它将128个文件类型进行加密,查询被感染系统的卷盘序列号(volume serial number)并在加密的文件中附上.cerber的扩展名。
[图2 Hidden Tear Cerber的勒索Memo]
此外,伪装成移动通信公司的恶意活动也被发现。包含有移动通信公司的URL的垃圾邮件中会附有手机通知书邮件。用户打开该压缩的PDF文件便会感染Sharik/Smoke Loader(TROJ_SHARIK.VDA)特洛伊木马变种。
Sharik/Smoke Loader会插入到正常的程序中并在C&C服务器中传送系统信息,通过远程控制系统可以进行下载其他恶意软件或者盗用系统的FTP、IM、邮件客户端与浏览器资格证明等恶意活动。
[图3 包含有Sharik/Smoke Loader的垃圾邮件]
目前形式老旧的Banking木马仍在活跃中,在德国,EMOTET (TSPY_EMOTET)、DRIDEX (TSPY_DRIDEX) 和 ZeuS/ZBOT (TSPY_ZBOT)的检测率都在大幅上升。DRIDEX的活动依然默默无闻,但在12月中旬检测到250余条活跃的URL,11月检测到有100条以上的EMOTET URL。从2007年开始反复进化至今的Zeus/ZBOT目前也在使用大量活跃的URL,10月至12月中旬便检测到205条URL并创造了最高纪录。
ZeuS/ZBOT、EMOTET 和 DRIDEX虽然是老式恶意软件,但目前依然被广泛利用。运作方式与社交工程方面有若干差异,但仍主要都用于盗取数据(窃取登陆资格证明)。该恶意软件背后的攻击者们直接在受害者的银行账户中转移金钱或者将窃取的数据拿到地下市场贩卖。
用户们可以通过备份数据或者停用不必要邮件中附件的宏等方式降低安全风险。需要格外注意访问钓鱼网站/网页或者点击可疑邮件中包含的链接。攻击者们通过这些方式欺骗用户让用户掉以轻心诱导其输入个人信息。此外,操作系统、软件和APP应用的持续更新也可以防止数据泄露和防止感染数据加密的恶意软件。网银资格证明也可以通过定期更新来缓解远程劫持与盗窃的危险。
IT管理员需要掌握可疑APP、程序、网络活动和系统性能低下等情况并及时发送红色警告,企业内部也需要建立拦截出处不明的邮件等管理对策。
原文标题:독일 랜섬웨어활동으로 본 악성코드들의 생존 방식(作者: 트렌드 마이크로)
【51CTO译稿,合作站点转载请注明原文译者和出处为51CTO.com】