Sophos發布對 AvosLocker 勒索軟體的最新研究《即使在安全模式下 AvosLocker 仍可遠端操作電腦》。Sophos 的研究解釋了攻擊者如何結合使用 Windows 安全模式和 AnyDesk 遠端管理工具來繞過安全控制。Windows 安全模式是一種 IT 支援方法,會停用大多數安全和 IT 管理工具以排除 IT 問題,AnyDesk 則可提供持續的遠端存取能力。
根據 Sophos 報告,AvosLocker 是一種較新的勒索軟體即服務,首次出現於 2021 年 6 月下旬,並且越來越受歡迎。Sophos Rapid Response 團隊迄今為止已經在美洲、中東和亞太地區看到了針對 Windows 和 Linux 系統的 AvosLocker 攻擊。
Sophos 事件回應主管 Peter Mackenzie 表示:「Sophos 發現 AvosLocker 攻擊者會安裝 AnyDesk 以便在安全模式下取得控制權,試圖停用安全模式下執行的安全元件,然後執行勒索軟體。如此一來,攻擊者可以從遠端完全控制被安裝 AnyDesk 的每台電腦,而遭鎖定的組織卻可能無法操作它們。過去 Sophos 從未見過上述元件與勒索軟體一起使用,當然也不會一起使用。
「對於遭受此類攻擊的 IT 安全團隊來說,即使勒索軟體無法執行,但在他們清除電腦上攻擊者經由 AnyDesk 部署的每一個足跡之前,都還是處於風險之中。攻擊者可以隨時使用組織網路並再次攻擊它們。」
調查的 Sophos 研究人員發現,攻擊起點是攻擊者使用軟體部署工具 PDQ Deploy 在被鎖定的電腦上執行 “love.bat”、“update.bat” 或 “lock.bat” 批次檔。該指令碼會發出並執行一系列連續命令,使電腦為勒索軟體發布做好準備,然後重新啟動進入安全模式。
執行整個命令串大約需要五秒鐘,包括以下動作:
‧停用 Windows 更新服務和 Windows Defender
‧試圖停用可在安全模式下運作的商業安全軟體元件
‧安裝合法遠端管理工具 AnyDesk,並設定其可在安全模式下連線到網路,以確保攻擊者能繼續進行命令和控制
‧使用自動登入資訊新增一個帳戶,然後連線到被鎖定電腦的網域控制站以從遠端存取和執行勒索軟體可執行檔 update.exe
Mackenzie 補充:「AvosLocker 使用的技術很簡單,但非常聰明。它讓勒索軟體有機會在安全模式下執行,並允許攻擊者在整個攻擊過程中從遠端操作電腦。Sophos 過去就發現 Snatch 和 BlackMatter 會使用這個作法,但是它們均未安裝後續的應用程式如 AnyDesk 來在安全模式下命令和控制電腦,這是我們第一次看到這種情況。」
Sophos 端點產品如 Intercept X 可偵測勒索軟體和其他攻擊如上的操作和行為來保護使用者。