安全研究人员指出,名为Locky的新型勒索软件借鉴了Dridex银行恶意软件的技术。那么,什么是Dridex恶意软件技术,Locky与其他类型的勒索软件有何不同之处?
Nick Lewis:Locky勒索软件在不断改进其攻击能力,Fortinet公司称他们在该恶意软件的最新版本中发现了这种改进。Locky勒索软件加入域名生成算法来提高命令控制(C&C)通信的灵活性,Locky还对C&C进行了更新,其通信会进行稍微加密以防止网络分析。增加这一功能需要恶意软件编写者付出极大的努力。考虑到该恶意软件会定期增加新的攻击技术,这可能意味着这是经验丰富的网络罪犯,而不是低技术含量的黑客干的。
Locky勒索软件似乎是从Dridex恶意软件借鉴了域名生成算法(DGA)的做法。DGA利用受感染机器的年、月、日以及seed值,让其可预测Locky将注册的域名,并提前攻击这些域名。Forcepoint Security实验室的研究人员分析了Locky勒索软件的最新样本,其中包含显著改善的DGA而没有以前的缺陷。
尽管Locky勒索软件已经增加DGA功能,它仍然保留了后备IP地址用于僵尸网络的C&C。C&C加密通信已被Fortinet攻破,可在网络中被检测出来。Fortinet已经发布该C&C系统的攻击指标,并建议当这些文件还没有被加密时企业应检查本地计算机以确定系统是否被感染。
作者:Nick Lewis
来源:51CTO
