新型 “无文件” 勒索软件 Sorebrect 可远程注入恶意代码进行文件加密
据外媒 6 月 16 日报道,安全研究人员近期发现一款新型 “无文件” 勒索软件 Sorebrect,允许黑客将恶意代码隐身注入目标系统中的合法进程(svchost.exe)并终止其二进制代码以规避安全机制检测,还能通过使用 wevtutil 删除受影响系统的事件日志阻碍取证分析。
勒索软件 Sorebrect 可利用 Tor 网络匿名连接至命令与控制(C&C)服务器中。与其他勒索软件不同的是,Sorebrect 专门针对各行(制造、技术与电信)企业系统注入恶意代码,以便在本地系统和共享网络中加密文件。
研究人员注意到,勒索软件 Sorebrect 首先
通过针对Windows操作系统的RDP协议暴力攻击等手段入侵管理员账户,然后利用 PsExec 命令控制系统实现文件加密处理。“虽然攻击者可以使用远程桌面协议(RDP)和 PsExec 在受影响的机器中安装 Sorebrect 恶意软件,但与使用 RDP 相比,利用 PsExec 更为简单”。趋势科技表示,PsExec 可使攻击者能够执行远程命令,而非使用交互登录会话或将恶意软件手动传输至远程机器设备。
调查显示,研究人员首次在中东国家 Kuwait 与 Lebanon 地区发现该勒索软件迹象。随后,他们于近期观察到加拿大、中国、俄罗斯与美国等国家系统也纷纷遭受勒索软件 Sorebrect 攻击。趋势科技安全专家建议用户限制 PsExec 权限、主动备份文件,实时更新系统与网络安全机制以防止黑客攻击。
情报来源:
- http://hackernews.cc/archives/11383
- http://blog.trendmicro.com/trendlabs-security-intelligence/analyzing-fileless-code-injecting-sorebrect-ransomware/
- https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/ransom_sorebrect.a
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
面对新型“无文件”勒索软件Sorebrect的威胁,阿里云提供了一系列安全产品和服务来帮助用户加强防护、检测和响应此类攻击。以下是一些建议措施,结合使用阿里云的安全产品来提升您的系统安全性:
-
云安全中心(Security Center):
- 实时监控:利用云安全中心的实时监控功能,可以检测到异常行为,如异常进程执行、网络连接等,及时发现Sorebrect的活动迹象。
- 防御策略:配置安全策略以限制不必要的RDP访问,并监控PsExec等高风险工具的使用,减少潜在的入侵途径。
- 安全组与网络ACL:通过设置严格的入站和出站规则,阻止与恶意C&C服务器的通信,保护内部网络不受此类勒索软件的侵害。
-
Web应用防火墙(WAF):
- 虽然WAF主要针对Web应用层的攻击,但配置得当可帮助过滤掉一些通过Web渠道传播的恶意请求,间接增强整体安全防御。
-
数据库审计与防护服务:
- 对于存储敏感数据的数据库,使用阿里云的数据库审计服务,监控并记录所有对数据库的操作,有助于在发生攻击后进行事件追踪和分析。
-
密钥管理服务(KMS)和备份服务:
- 使用KMS加密敏感数据,即使数据被加密,也能确保其核心价值不丢失。
- 定期使用阿里云的备份服务对重要数据进行备份,一旦遭受攻击,能够迅速恢复数据,减少损失。
-
态势感知系统:
- 结合使用态势感知,可以更全面地了解整个环境中的安全状况,识别潜在的威胁和漏洞,提前采取预防措施。
-
主动防御与培训:
- 增强员工的安全意识,定期进行网络安全培训,教育员工识别钓鱼邮件和社会工程学攻击,避免成为攻击的入口点。
- 限制管理员账户的远程登录权限,尤其是通过RDP,采用双因素认证增加额外的安全层。
-
应急响应计划:
- 制定详细的应急响应计划,包括如何隔离受感染系统、恢复数据以及与阿里云安全团队协作的流程,确保在遭遇攻击时能快速有效地应对。
综上所述,结合使用阿里云提供的多种安全产品和服务,可以有效提升企业系统的安全防护能力,对抗Sorebrect这类复杂且隐蔽的勒索软件威胁。
