新型「無文件」 + 代碼注入勒索軟體SOREBRECT現江湖

E安全6月21日訊Trend Micro安全研究人員警告稱，新浮現一款名為「SOREBRECT」的勒索軟體，其結合了「無文件」攻擊和代碼注入兩種攻擊方式。

攻擊方式

Trend Micro公司表示，幾個月前，SOREBRECT設法感染中東組織機構的網路和系統被發現。這款勒索軟體具備不尋常的加密技術，濫用PsExec公用程序利用代碼注入，同時還注重隱身。

SOREBRECT裝有自毀程序，將自身變成「無文件」威脅，即終止主要的二進位文件之前，將代碼注入合法系統進程。此外，這款軟體會儘可能刪除受影響系統的事件日誌和其它項目產生文檔（Artifact），以阻礙取證分析，阻止研究人員追蹤威脅活動。

受威脅的國家

被發現時，SOREBRECT的目標主要集中在科威特和黎巴嫩等中東國家。然而，在WannaCry肆虐之前，這款惡意軟體就已經出現在加拿大、中國（包括中國台灣地區）、克羅埃西亞、義大利、日本、墨西哥、俄羅斯和美國的電腦中，感染的行業包括製造業、技術和電信行業。

Trend Micro表示，考慮到勒索軟體的潛在影響和盈利能力，SOREBRECT出現在其它地方、甚至網路犯罪地下市場都不足為奇。

攻擊期間，這款惡意軟體會濫用PsExec。這就意味著，攻擊者已經獲取了管理員登錄憑證，使遠程設備暴露或遭受蠻力攻擊。

SOREBRECT勒索軟體

SOREBRECT並非首個濫用PsExec的勒索軟體家族，其它這類勒索軟體還包括SamSam和Petya。

PetrWrap也曾濫用該公用程序在被感染伺服器或端點上安裝Petya勒索軟體。但區別在於，SOREBRECT這種新型威脅會惡意部署PsExec，並執行代碼注入。

E安全百科：PsExec，輕型的 telnet 替代工具，無需手動安裝客戶端軟體即可執行其他系統上的進程，並且可以獲得與控制台應用程序相當的完全交互性。是系統管理員執行命令或在遠程系統運行可執行文件使用的合法Windows命令行公用程序。

Trend

Micro解釋稱，SOREBRECT將代碼注入Windows的svchost.exe進程，但主要的二進位文件會自毀。部署的勒索軟體二進位文件一旦結束執行並自我終止，注入的svchost.exe（合法的Windows服務託管系統進程）會恢復執行加密有效載荷。

研究人員還認為，相比遠程桌面協議（RDP），這款勒索軟體的代碼注入功能使攻擊更有效。攻擊者通過PsExec可以遠程執行命令，而不是提供登錄會話或手動將此惡意軟體轉移到目標設備。

SOREBRECT還使用wevtutil.exe刪除系統事件日誌和vssadmin，以刪除卷影副本（Shadow Copies），從而掩蓋行蹤，並防止用戶恢復文件。此外，這款惡意軟體還使用TOR網路與C&C伺服器通信。

研究人員警告稱，SOREBRECT還可以加密網路共享文件，即SOREBRECT會掃描網路尋找資產，並枚舉開放式共享（包括文件夾、內容或通過該網路易訪問的外圍設備），之後它會啟動到共享的連接，無論讀取和寫入訪問是否可用，這款惡意軟體都會對發現的共享進行加密。

保護措施

E安全建議IT/系統管理員：

• 限制用戶寫入許可權。

• 限制PsExec特權。

• 隨時備份文件。

• 升級系統和網路降低遭受攻擊的概率。

• 員工的安全常識培訓。

• 部署多層安全機制。

E安全註：本文系E安全獨家編譯報道，轉載請聯繫授權，並保留出處與鏈接，不得刪減內容。

@E安全，最專業的前沿網路安全媒體和產業服務平台，每日提供優質全球網路安全資訊與深度思考。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！