在本文發文幾天後, 勒索病毒LOCKY 傳出一波新的散播方式,駭客先盜用Facebook帳號,再以私訊分享偽造的圖片,誘拐被害者下載惡意瀏覽器外掛,再暗中植入Locky > 相關報導 (11/23 更新)
提到 Locky ,不得不提到年初的這個案例:Locky 勒索軟體迫使醫院緊急將所有電腦關機,改用紙本作業,四月在台灣有傳出大量散播案例,它利用一封看似發票的信件主旨,加上使用者對 Microsoft Word 檔比較沒有防備的心態,造成不少台灣民眾檔案被綁架。詳情請看:從勒索軟體 Locky 加速散播,看巨集惡意軟體新伎倆
現在它的變種又來了,藉著改良版的漏洞攻擊套件散播,專門攻擊本地端安裝的 Revive 和 OpenX 開放原始碼廣告伺服器,而且台灣是遭攻擊排行榜第一名 !
最新漏洞攻擊套件:「Bizarro Sundown」,散布新型 Locky 勒索病毒,使用 181 個遭到入侵的網站來散布惡意程式
最近出現了一個新的漏洞攻擊套件專門散布新版的 Locky勒索病毒 Ransomware (勒索軟體/綁架病毒),這個新的漏洞攻擊套件稱為「Bizarro Sundown」,其第一個版本出現在 10 月 5 日,隨後在 10 月 19 日又再度出現第二個版本。此威脅的主要受害者分布在台灣和韓國。Bizarro Sundown 和其前身 Sundown 在
功能上有諸多雷同之處,但卻增加了一些妨礙分析的功能。在 10 月 19 日的攻擊當中,其網址已修改得很像正常的網站廣告網址。這第二個版本被稱為「GreenFlash Sundown」。兩個版本都只出現在一個稱為「 ShadowGate/WordsJS」的攻擊行動當中。
專門攻擊本地端安裝的 Revive 和 OpenX 開放原始碼廣告伺服器
ShadowGate 攻擊行動在 2015 年首次現身,專門攻擊本地端安裝的 Revive 和 OpenX 開放原始碼廣告伺服器。這些伺服器一旦遭到入侵,就會成為漏洞攻擊套件散布惡意程式的門戶。此攻擊活動相關的一些網域之前曾經遭到封鎖。但最近,趨勢科技發現該攻擊行動又使用了 181 個遭到入侵的網站來散布惡意程式。今年 9 月, ShadowGate 利用 Neutrino 漏洞攻擊套件來散布 Locky 勒索病毒變種 (被加密的檔案副檔名為「 .zepto」)。10 月 5 日,這項攻擊改用 Bizarro Sundown 漏洞攻擊套件。兩星期後 (也就是 10 月 19 日),Bizarro Sundown 出現修改後的版本 (也就是 GreenFlash Sundown)。
攻擊行動會在周末暫停重新導向的動作,並且暫時移除受害網站上專門用來重導使用者的腳本
Bizarro Sundown 的受害者數量變化頗令人玩味:其受害者數量在周末會下降為零。
趨勢科技觀察到 ShadowGate 攻擊行動會在周末期間暫停重新導向的動作,並且暫時移除受害網站上專門用來重導使用者的腳本,等到上班日才又恢復正常。在分布情況方面,半數以上的受害者都在台灣和韓國。其次是德國、義大利和中國。
攻擊程序說明
Bizarro Sundown 會利用 Internet Explorer 的記憶體損毀漏洞 (CVE-2016-0189,已在 2016 年 5 月修復) 和兩個 Flash 的漏洞:一個是使用已釋放的記憶體 (CVE-2015-5119),另一個是讀取超出範圍的記憶體 (CVE-2016-4117)。第一個漏洞早在一年多前即已修補 (2015 年 7 月),第二個也在今年稍早修補 (2016 年 5 月)。Bizarro Sundown 的第二個變種僅利用了 Flash 這兩個漏洞。
Bizarro Sundown與 Sundown 攻擊所使用的網址格式類似。不過,其編碼格式略有不同,並未採用查詢字串。此外,Bizarro Sundown 也增加了一些妨礙地毯式搜索的功能。這是今日漏洞攻擊套件常用的手法,可防止資安研究人員和分析師進行自動化地毯式搜索。該套件被用來散布 Locky 勒索病毒變種,此變種會將被加密的檔案副檔名改成「 .odin 」。
兩週後,趨勢科技發現一個新的 Bizarro Sundown 版本,修改了重導方法,讓網址長得更像一般正常廣告流量。此版本被稱為「 GreenFlash Sundown」,它可更直接地與 ShadowGate 新的重導方法配合,ShadowGate 採用腳本來將受害者重導至惡意伺服器,其方法是透過惡意的 Flash 檔案 (.SWF)。
該檔案會判斷使用者系統上安裝的 Flash Player 版本,並透過一個查詢字串將使用者重導到漏洞攻擊套件。Bizarro Sundown 會根據這項資訊來攻擊適當的 Flash 漏洞。如此可省略一些中間的重導步驟 (轉址網頁)。日前我們發現 ShadowGate 會散布另一個 Locky 變種 (趨勢科技命名為 RANSOM_LOCKY.DLDSAPZ),被加密的檔案副檔名將改成「.thor」。
圖 5:用來判斷使用者系統上安裝的 Flash Player 版本的部分程式碼。
如何降低風險
儘管良好的備份習慣是防範勒索病毒的不二法門,但若能再搭配完善的系統修補管理,將更能保障裝置安全。保持作業系統和其他軟體隨時更新,可防堵軟體廠商已經修補的漏洞,進而降低漏洞攻擊的風險。
採用多層式防護可為使用者和企業帶來完整的保護,從 閘道、端點、 網路到 伺服器。此外,也建議採用一套主動式防禦 來防止專門利用系統與軟體漏洞的攻擊。
以下是這項威脅的一些入侵指標 (IoC):
RANSOM_LOCKY.DLDSAPZ 的 SHA-1 雜湊碼:
- 867ed6573d37907af0279093105250a1cf8608a2
ShadowGate 相關網址:
- jewelry[.]earwhig[.]net
- ads[.]phoenixhealthtechnology[.]com
Bizarro Sundown 漏洞攻擊套件相關網址:
- aided[.]theteragroup[.]com
- references[.]vietnamesebaby[.]com
- ads[.]dubleywells[.]com
原文出處:New Bizarro Sundown Exploit Kit Spreads Locky 作者:Brooks Li 和 Joseph C. Chen (威脅分析師)
趨勢科技的勒索病毒解決方案
從中小企業到大型企業的網路設備都是Crysis這類勒索病毒的攻擊目標,業務持續性、財務損失和公司聲譽都受到了威脅。當網路犯罪分子汲汲營營地想要將關鍵資料做為人質,重要的是能夠具備主動式、多層次的安全防護:從閘道、端點、網路到伺服器。
| 電子郵件和閘道防護
趨勢科技Cloud App Security、趨勢科技Deep Discovery™ Email Inspector和InterScan™ Web Security 可以防禦常被用來散播勒索病毒的管道,如電子郵件和網頁。
|
端點防護
趨勢科技 Smart Protection Suites 在端點層級偵測和阻止與勒索病毒相關的可疑行為和漏洞攻擊。
|
| 網路保護
趨勢科技Deep Discovery Inspector偵測與勒索病毒進入網路相關的惡意流量、連線和其他活動。
|
伺服器防護
趨勢科技Deep Security可以偵測和阻止可疑網路活動和保護伺服器和應用程式免於漏洞攻擊。
|
| 保護中小型企業
Worry-Free Pro透過Hosted Email Security來提供雲端電子郵件閘道防護,偵測和封鎖勒索病毒。
|
保護家庭用戶
趨勢科技PC-cillin雲端版可以封鎖勒索病毒威脅相關的惡意網站、電子郵件與檔案來提供強大的防護。
|
AV-TEST 連續第四個月評比趨勢科技 PC-cillin 雲端版為「頂尖產品」PC-cillin 2017雲端版除針對勒索病毒提供「3+1多層式防護」外,更提供密碼管理、SSL 網站安全憑證偵測、以及社群隱私防護三大獨家功能,跨平台跨裝置全面保護消費者遠離威脅!!即刻免費下載
《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》
《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。
▼ 歡迎加入趨勢科技社群網站▼
h