Malwarebytes研究人员发现,近来很猖獗的勒索软体RansomHub骇客,利用合法工具如卡巴斯基rootkit程式移除工具,来关闭受害者桌机安全机制。
资安厂商Malwarebytes的ThreatDown 代管侦测与回应(Managed Detection and Response,MDR)小组发现,RansomHub最近袭击其用户时,一开始先以管理员群组列举(admin group enumeration)手法进行侦察及网路探索,以找寻可下手目标,接著就用上了合法工具进行非法行为。TDSSKiller是被骇客恶意使用的合法工具之一。另一个是知名开源密码与凭证回复工具,名为LaZagne。
TDSSKiller是卡巴斯基的rootkit程式移除工具,但研究人员发现,RansomHub骇客企图利用指令行脚本程式或批次档关闭端点侦测与回应(EDR)软体工具,包括Malwarebytes防毒工具(MBAMService)。
等用户桌机被关闭EDR防护后,RansomHub骇客就利用LaZagne,从受害者系统中汲取储存的密码和凭证。LaZagne可从多个应用,包括浏览器、电子邮件用户端、资料库等搜集登入资讯,让骇客更容易在受害者网路内横向移动。其中又以资料库凭证为最主要目标。受害系统会出现TDSSKiller.exe以及LaZagne.exe 二个档案。
为防范勒索软体使用这二工具攻击,研究人员建议监控和小心TDSSKiller等处于灰色地带的软体或驱动程式,必要时隔离或完全封锁。此外研究人员建议,利用网路区隔法切断横向移动,防范取得权限的骇客在网路上的装置窃取敏感资料。
RansomHub是新兴软体骇客组织,根据估计,今年2月才现身的RansomHub,截至8月就已成功攻击了至少210家受害者。受害企业包括美国医疗保健科技业者Change Healthcare、英国精品拍卖业者佳士得(Christie’s)、台湾电脑制造商蓝天(Clevo)等。