Malwarebytes研究人員發現,近來很猖獗的勒索軟體RansomHub駭客,利用合法工具如卡巴斯基rootkit程式移除工具,來關閉受害者桌機安全機制。

資安廠商Malwarebytes的ThreatDown 代管偵測與回應(Managed Detection and Response,MDR)小組發現,RansomHub最近襲擊其用戶時,一開始先以管理員群組列舉(admin group enumeration)手法進行偵察及網路探索,以找尋可下手目標,接著就用上了合法工具進行非法行為。TDSSKiller是被駭客惡意使用的合法工具之一。另一個是知名開源密碼與憑證回復工具,名為LaZagne。

TDSSKiller是卡巴斯基的rootkit程式移除工具,但研究人員發現,RansomHub駭客企圖利用指令行腳本程式或批次檔關閉端點偵測與回應(EDR)軟體工具,包括Malwarebytes防毒工具(MBAMService)。

等用戶桌機被關閉EDR防護後,RansomHub駭客就利用LaZagne,從受害者系統中汲取儲存的密碼和憑證。LaZagne可從多個應用,包括瀏覽器、電子郵件用戶端、資料庫等蒐集登入資訊,讓駭客更容易在受害者網路內橫向移動。其中又以資料庫憑證為最主要目標。受害系統會出現TDSSKiller.exe以及LaZagne.exe 二個檔案。

為防範勒索軟體使用這二工具攻擊,研究人員建議監控和小心TDSSKiller等處於灰色地帶的軟體或驅動程式,必要時隔離或完全封鎖。此外研究人員建議,利用網路區隔法切斷橫向移動,防範取得權限的駭客在網路上的裝置竊取敏感資料。

RansomHub是新興軟體駭客組織,根據估計,今年2月才現身的RansomHub,截至8月就已成功攻擊了至少210家受害者。受害企業包括美國醫療保健科技業者Change Healthcare、英國精品拍賣業者佳士得(Christie's)、臺灣電腦製造商藍天(Clevo)等。

熱門新聞

Advertisement