账号:
密码:
最新动态
 
产业快讯
CTIMES/SmartAuto / 新闻 /
Sophos发现勒索软体在安全模式下使用AnyDesk发动攻击
 

【CTIMES / SMARTAUTO ABC_1 报导】    2021年12月30日 星期四

浏览人次:【3197】

Sophos发布对 AvosLocker 勒索软体的最新研究《即使在安全模式下 AvosLocker 仍可远端操作电脑》。 Sophos 的研究解释了攻击者如何结合使用 Windows 安全模式和 AnyDesk 远端管理工具来绕过安全控制。 Windows 安全模式是一种 IT 支援方法,会停用大多数安全和 IT 管理工具以排除 IT 问题,AnyDesk 则可提供持续的远端存取能力。

根据 Sophos 报告,AvosLocker 是一种较新的勒索软体即服务,首次出现于 2021 年 6 月下旬,并且越来越受欢迎。 Sophos Rapid Response 团队迄今为止已经在美洲、中东和亚太地区看到了针对 Windows 和 Linux 系统的 AvosLocker 攻击。

Sophos 事件回应主管 Peter Mackenzie 表示:「Sophos 发现 AvosLocker 攻击者会安装 AnyDesk 以便在安全模式下取得控制权,试图停用安全模式下执行的安全元件,然后执行勒索软体。如此一来,攻击者可以从远端完全控制被安装 AnyDesk 的每台电脑,而遭锁定的组织却可能无法操作它们。过去 Sophos 从未见过上述元件与勒索软体一起使用,当然也不会一起使用。

「对于遭受此类攻击的 IT 安全团队来说,即使勒索软体无法执行,但在他们清除电脑上攻击者经由 AnyDesk 部署的每一个足迹之前,都还是处于风险之中。攻击者可以随时使用组织网路并再次攻击它们。」

调查的 Sophos 研究人员发现,攻击起点是攻击者使用软体部署工具 PDQ Deploy 在被锁定的电脑上执行 “love.bat”、“update.bat” 或 “lock.bat” 批次档。该指令码会发出并执行一系列连续命令,使电脑为勒索软体发布做好准备,然后重新启动进入安全模式。

执行整个命令串大约需要五秒钟,包括以下动作:

‧停用 Windows 更新服务和 Windows Defender

‧试图停用可在安全模式下运作的商业安全软体元件

‧安装合法远端管理工具 AnyDesk,并设定其可在安全模式下连线到网路,以确保攻击者能继续进行命令和控制

‧使用自动登入资讯新增一个帐户,然后连线到被锁定电脑的网域控制站以从远端存取和执行勒索软体可执行档 update.exe

Mackenzie 补充:「AvosLocker 使用的技术很简单,但非常聪明。它让勒索软体有机会在安全模式下执行,并允许攻击者在整个攻击过程中从远端操作电脑。Sophos 过去就发现 Snatch 和 BlackMatter 会使用这个作法,但是它们均未安装后续的应用程式如 AnyDesk 来在安全模式下命令和控制电脑,这是我们第一次看到这种情况。」

Sophos 端点产品如 Intercept X 可侦测勒索软体和其他攻击如上的操作和行为来保护使用者。

關鍵字: 资安防护  物联网  Sophos 
相关新闻
Check Point发布2025年九大网路安全预测 AI攻击与量子威胁将层出不穷
沙仑科学城前进人工智慧暨物联网展 展示AI跨域应用实力
Zentera:加速协助企业将零信任从理论转化为实践
恩智浦整合UWB雷达与安全测距晶片 推动自动化工业物联网应用
贸泽即日起供货英飞凌OPTIGA Trust M MTR安全解决方案
comments powered by Disqus
相关讨论
  相关文章
» 光通讯成长态势明确 讯号完整性一测定江山
» 分众显示与其控制技术
» 新一代Microchip MCU韧体开发套件 : MCC Melody简介
» 最隹化大量低复杂度PCB测试的生产效率策略
» 公共显示技术迈向新变革


刊登廣告 新聞信箱 读者信箱 著作權聲明 隱私權聲明 本站介紹

Copyright ©1999-2024 远播信息股份有限公司版权所有 Powered by O3  v3.20.1.HK8B6964H5YSTACUKZ
地址:台北数位产业园区(digiBlock Taipei) 103台北市大同区承德路三段287-2号A栋204室
电话 (02)2585-5526 #0 转接至总机 /  E-Mail: webmaster@ctimes.com.tw