安全廠商Aqua攔截到一隻發展中的勒索軟體,主要攻擊目標是對網際網路開放且未設驗證控管的Jupyter Notebook系統環境。(情境示意圖,背景圖片來源/olieman.eth on Unsplash)

研究人員近日發現,一隻勒索軟體鎖定資料分析用的Jupyter Notebook Web版App以加密受害者檔案。

安全廠商Aqua攔截到的勒索軟體,不是使用惡意程式作者常用的GoLang、Dang、Rust及Nim開發,而是以Python撰寫。它利用組態不當的問題存取進Jupyter Notebook環境,加密所有檔案後、再自我刪除以免被發現。

圖片來源/Aqua Security

Jupyter Notebook是廣受資料分析專案人員愛用的開源Web應用程式,能撰寫和執行程式並且視覺化呈現開發結果。通常Jupyter Notebook系統環境會以令牌、密碼管制存取,或限制進入流量,但仍有時候專案人員未設好驗證而讓外部人士以瀏覽器直接存取環境。Jupyter Notebook的一項內建功能,還允許用戶開啟shell終端機(terminal)而存取伺服器。

根據分析,駭客是利用一個組態不當的應用程式存取系統、下載攻擊用的函式庫和工具(如加密器)到受害者環境中,接著以Python程式碼建立勒索軟體腳本後執行。

駭客在實際攻擊前就暫停行動,但研究人員模擬後發現這個Python檔案在執行加密後會自我刪除以隱藏其行動。此外也還沒有顯示勒索訊息。研究人員推論駭客目前可能正在實驗。

整體而言,這隻未命名的勒索軟體以手法而言,並不像現行幾隻兇險的勒索軟體包括Locky、Ryuk、WannaCry或勒索軟體即服務GandCrab手法那麼複雜。依其中一個檔案所用字詞,研究人員推測可能是來自俄語系國家,而且也見於過去攻擊Jupyter Notebook及JupyterLab環境的挖礦攻擊。

利用Shodan搜尋引擎,目前網路上約有200個對網際網路開放的Jupyter notebook未設驗證控管,顯示它們可能是這波攻擊的目標。

為免遭駭客毒手,安全公司建議Jupyter Notebook用戶啟用令牌或其他驗證方式強化防護、使用SSL加密連線傳輸資料,並且封鎖外部網路存取,若有必要則需使用VPN或遵循網路規則才能放行,也應限制向外流量。此外,管理員應掌握Jupyter Notebook使用者的身分,而用戶也最好以一般使用者身分或較低權限來執行應用程式。


熱門新聞

Advertisement