帳號:
密碼:
最新動態
產業快訊
CTIMES/SmartAuto / 新聞 /
Sophos發現勒索軟體在安全模式下使用AnyDesk發動攻擊
 

【CTIMES/SmartAuto 王岫晨 報導】   2021年12月30日 星期四

瀏覽人次:【3222】

Sophos發布對 AvosLocker 勒索軟體的最新研究《即使在安全模式下 AvosLocker 仍可遠端操作電腦》。Sophos 的研究解釋了攻擊者如何結合使用 Windows 安全模式和 AnyDesk 遠端管理工具來繞過安全控制。Windows 安全模式是一種 IT 支援方法,會停用大多數安全和 IT 管理工具以排除 IT 問題,AnyDesk 則可提供持續的遠端存取能力。

根據 Sophos 報告,AvosLocker 是一種較新的勒索軟體即服務,首次出現於 2021 年 6 月下旬,並且越來越受歡迎。Sophos Rapid Response 團隊迄今為止已經在美洲、中東和亞太地區看到了針對 Windows 和 Linux 系統的 AvosLocker 攻擊。

Sophos 事件回應主管 Peter Mackenzie 表示:「Sophos 發現 AvosLocker 攻擊者會安裝 AnyDesk 以便在安全模式下取得控制權,試圖停用安全模式下執行的安全元件,然後執行勒索軟體。如此一來,攻擊者可以從遠端完全控制被安裝 AnyDesk 的每台電腦,而遭鎖定的組織卻可能無法操作它們。過去 Sophos 從未見過上述元件與勒索軟體一起使用,當然也不會一起使用。

「對於遭受此類攻擊的 IT 安全團隊來說,即使勒索軟體無法執行,但在他們清除電腦上攻擊者經由 AnyDesk 部署的每一個足跡之前,都還是處於風險之中。攻擊者可以隨時使用組織網路並再次攻擊它們。」

調查的 Sophos 研究人員發現,攻擊起點是攻擊者使用軟體部署工具 PDQ Deploy 在被鎖定的電腦上執行 “love.bat”、“update.bat” 或 “lock.bat” 批次檔。該指令碼會發出並執行一系列連續命令,使電腦為勒索軟體發布做好準備,然後重新啟動進入安全模式。

執行整個命令串大約需要五秒鐘,包括以下動作:

‧停用 Windows 更新服務和 Windows Defender

‧試圖停用可在安全模式下運作的商業安全軟體元件

‧安裝合法遠端管理工具 AnyDesk,並設定其可在安全模式下連線到網路,以確保攻擊者能繼續進行命令和控制

‧使用自動登入資訊新增一個帳戶,然後連線到被鎖定電腦的網域控制站以從遠端存取和執行勒索軟體可執行檔 update.exe

Mackenzie 補充:「AvosLocker 使用的技術很簡單,但非常聰明。它讓勒索軟體有機會在安全模式下執行,並允許攻擊者在整個攻擊過程中從遠端操作電腦。Sophos 過去就發現 Snatch 和 BlackMatter 會使用這個作法,但是它們均未安裝後續的應用程式如 AnyDesk 來在安全模式下命令和控制電腦,這是我們第一次看到這種情況。」

Sophos 端點產品如 Intercept X 可偵測勒索軟體和其他攻擊如上的操作和行為來保護使用者。

關鍵字: 資安防護  物聯網  Sophos 
相關新聞
Palo Alto Networks:安全使用AI以應對日益嚴峻的網路威脅
Check Point發佈2025年九大網路安全預測 AI攻擊與量子威脅將層出不窮
沙崙科學城前進人工智慧暨物聯網展 展示AI跨域應用實力
Zentera:加速協助企業將零信任從理論轉化為實踐
恩智浦整合UWB雷達與安全測距晶片 推動自動化工業物聯網應用
comments powered by Disqus
相關討論
  相關文章
» SiC MOSFET:意法半導體克服產業挑戰的顛覆性技術
» 意法半導體的邊緣AI永續發展策略:超越MEMS迎接真正挑戰
» 光通訊成長態勢明確 訊號完整性一測定江山
» 分眾顯示與其控制技術
» 新一代Microchip MCU韌體開發套件 : MCC Melody簡介


刊登廣告 新聞信箱 讀者信箱 著作權聲明 隱私權聲明 本站介紹

Copyright ©1999-2024 遠播資訊股份有限公司版權所有 Powered by O3  v3.20.2048.3.142.250.86
地址:台北數位產業園區(digiBlock Taipei) 103台北市大同區承德路三段287-2號A棟204室
電話 (02)2585-5526 #0 轉接至總機 /  E-Mail: webmaster@ctimes.com.tw