Sophos 發現 Dridex 殭屍網路和 Entropy 勒索軟體的程式碼極為相似

Sophos 是新一代網路安全領域的全球領導者，發布最新研究《Dridex 殭屍網路在近期攻擊中散佈 Entropy 勒索軟體》，詳細介紹用途廣泛的 Dridex 殭屍網路和鮮為人知的 Entropy 勒索軟體程式碼極為相似。相似之處包括用於隱藏勒索軟體程式碼的軟體打包程式、尋找和模糊命令 (API 呼叫) 的惡意軟體副程式，以及用於解密加密文字的副程式。

Sophos 在調查兩起攻擊者使用 Dridex 散播 Entropy 勒索軟體的事件時發現了這些相似之處。上述攻擊鎖定了一家媒體公司和一家地方政府機構，使用特製版本的 Entropy 勒索軟體動態連結程式庫 (DLL)，並將目標名稱嵌入在勒索軟體程式碼中。在兩次攻擊中，攻擊者還在一些受害電腦上部署了 Cobalt Strike，並使用合法的 WinRAR 壓縮工具將資料外洩到雲端儲存供應商，然後在未受保護的電腦上啟動勒索軟體。

Sophos 首席研究員 Andrew Brandt 表示：「惡意軟體操作者共用、借用或竊取彼此的程式碼並非新鮮事，目的無非是為了節省撰寫程式碼的時間、故意誤導追蹤，或是分散安全研究人員的注意力。這種做法使我們更難找出能證實其與惡意軟體家族相關或是被栽贓的證據，使得調查人員更難著手且攻擊者更容易消遙法外。在本次分析中，Sophos 仔細分析 Dridex 和 Entropy 用來增加鑑識分析難度的程式碼，包括防止對底層惡意軟體進行簡單靜態分析的打包程式碼、程式用來隱藏命令 (API) 呼叫的副程式，以及解密惡意軟體內加密文字字串的副程式。研究人員發現，兩種惡意軟體中的副程式基本上都使用了相似的程式碼和邏輯。」

不同的攻擊方法

除了在程式碼中發現相似處外，Sophos 研究人員還發現了一些顯著的差異。在針對媒體機構的攻擊中，攻擊者利用 ProxyShell 對有弱點的 Exchange 伺服器安裝遠端命令介面，以便日後能利用它將 Cobalt Strike 信標傳播到其他電腦。攻擊者在網路中待了四個月，然後於 2021 年 12 月初啟動 Entropy。

在針對地方政府組織的攻擊中，受害者是經由惡意電子郵件附件感染 Dridex 惡意軟體。攻擊者隨後使用 Dridex 傳遞額外的惡意軟體，並在目標網路內橫向移動。事件分析表明，在最初偵測到某一電腦上出現可疑登入後 75 小時，攻擊者開始竊取資料並將其轉移到多個雲端供應商。

持續獲得保護

調查發現，在這兩個案例中，攻擊者都利用了未修補且易受攻擊的 Windows 系統並濫用合法工具。定期安全修補，以及安排威脅捕獵人員和安全營運團隊對可疑警示積極調查，有助於使攻擊者更難獲得目標的初始存取權限和部署惡意程式碼。

Sophos 端點產品 (例如 Intercept X) 能透過偵測勒索軟體和其他攻擊的動作和行為來保護使用者，例如上述 Sophos 研究中描述的攻擊。 

如需更多資訊，請閱讀《Dridex 殭屍網路在近期攻擊中散佈 Entropy 勒索軟體》。

其他資源

• 如需不斷演變的網路威脅態勢的詳細資訊，請參見《Sophos 2022 年威脅報告》

• SophosLab Uncut 上取得針對不同類型威脅的策略、技術和程序 (TTP) 以及更多內容，可使用 Sophos 最新的威脅情報

• 在Sophos 新聞上找到攻擊者行為、事件報告和針對安全營運專業人員的建議

• 了解 Sophos Rapid Response 服務的更多資訊，該服務可全天候遏阻、消除和調查攻擊

• Sophos Rapid Response 和 Managed Threat Response 團隊對回應安全事件的四個重要提示

• 由我們獲獎的 Naked Security 取得最新的安全新聞和觀點，並由 Sophos News 觀看更多關於我們的介紹

關於 Sophos

Sophos 是新一代網路安全的全球領導者，保護 150 多個國家/地區的 50 萬家企業和數百萬消費者免受當今最先進的網路威脅的危害。透過來自 SophosLabs 和 SophosAI 的威脅情報、人工智慧和機器學習，Sophos 提供多種先進的產品和服務組合，保護使用者、網路和端點免於勒索軟體、惡意軟體、漏洞利用、網路釣魚和其他網路攻擊。Sophos 提供一個整合式的雲端管理主控台 Sophos Central，這是自適應網路安全生態系統的核心，使用一個提供一整組開放式 API 的資料湖，可供客戶、合作夥伴、開發人員和其他網路安全廠商使用。Sophos 透過經銷商合作夥伴和託管服務供應商 (MSP) 在全球銷售產品和服務。Sophos 總部位於英國牛津。如需詳細資訊請瀏覽 www.sophos.com。