自2019年出现的勒索软体LockBit在全球横行,是最近2至3年最具威胁的勒索软体。根据美国政府的统计,自2020年该勒索软体骇客组织已发起超过1,700次攻击,以美国而言,他们向受害组织总共索讨了9,100万美元的不法所得。这些骇客甚至还
1年前资安业者Aqua Security发现专门锁定Redis伺服器的僵尸网路病毒HeadCrab,当时已控制超过1,200伺服器,并将其用于挖矿,如今骇客的手法再度升级,僵尸网路规模更大,有另外1,100台伺服器也遭到控制。
研究人员指出,他们在蜜罐陷阱(Honeypot)当中,看到此僵尸网路病毒升级版HeadCrab 2.0,最大的变化在于攻击者载入此恶意软体的方式。原本骇客会将恶意程式的共用物件档案(shared object file,副档名为SO)储存于受害伺服器,但新版病毒的传播方式,则是透过Redis的通讯管道进行,并存放于无档案的位置(fileless location,应指系统记忆体,因为Redis是一种In-memory资料库),从而大幅减少留下数位踪迹的情况,回避资安系统的磁碟扫描功能。
另一个与旧版恶意程式的差异,则是在于与C2伺服器的通讯方式,原本骇客利用自定的Redis命令进行互动而容易被察觉,而新版本采用预设的MGET命令,骇客在命令当中挟带特定参数,让恶意程式得以确认是来自C2的命令,而对Redis的使用者而言,MGET命令仍能正常运作,使得恶意软体的行踪变得更加隐密。
对于后续的改善措施,该公司表示将强化现有的资安政策、系统架构安全、员工资安教育的落实,并全面提升网路安全等级。
【漏洞与修补】