勒索软体骇客为了避免使用者透过备份机制让电脑回复正常,在作案过程里通常会删除相关档案来增加复原的难度,其中最常针对的项目,就是Windows内建的磁碟区阴影复制服务(Volume Shadow Copy Service)备份资料。但如今,骇客也针对外部的备份系统下手。
例如,近期在芬兰攻击行动升温的勒索软体Akira,就是这样的例子,骇客在攻击的过程,会特别找寻企业组织使用的NAS设备,抹除设备上存放的所有资料。
【攻击与威胁】
,这些骇客很有可能曾经利用另一款勒索软体Phobos发动攻击。
研究人员指出,邮件伺服器透过邮件传输代理程式(Mail Transfer Agent,MTA)检查收信人电子邮件信箱的网域,若是与寄件信箱的网域不同,就会从DNS查询邮件交换纪录(MX Record),来达到完成邮件交换的目的。而SMTP走私的症结点,在于进出SMTP伺服器的流程当中,处理资料结尾序列不一致,导致攻击者有可能突破邮件的资料,偷渡SMTP命令。这种安全弱点存在于微软、GMX、思科的讯息伺服器,Postfix和Sendmail的邮件伺服器也受到影响。 值得留意的是,在研究人员通报后,微软与GMX已修正上述弱点,但思科认为这是一种功能,并不构成资安漏洞,表明不会进行修补。对此,研究人员呼吁IT人员应调整思科讯息伺服器的组态,来防范上述的弱点。
研究人员指出,针对AWS的帐号,FBot有3种攻击模组,其中一种是API金钥产生器,由特定函数功能aws_generator生成随机的AWS存取ID,然后再从其中40个字元产生密钥;另一个功能称为Mass AWS Checker,用来挖堀AWS Simple Email Service(SES)的组态,并使用特定帐密资料建立具有管理层级的新帐号,用来发送垃圾邮件;最后一个功能是EC2检查工具,让攻击者可以得知目标帐号租用的虚拟机器资源细节。 而对于网页伺服器的部分,FBot能检查主机是否存在Laravel环境组态档案,并解出其中的帐密资料;也能针对逾20种内容管理系统(CMS)下手。研究人员指出,FBot与先前出现的同类型攻击工具AlienFox、GreenBot、Predator不同,骇客并未引用开源的Androxgh0st程式码,其抓取PHP组态的方式与名为Legion的窃资软体很类似,但FBot档案较Legion的800至1,200 KB小很多,仅有200 KB。 support@frame.work寄送通知信,要求客户在网站上更新付款资料,不会直接寄送付款资讯。 近期资安日报