据外媒本月 3 日报道,勒索软件 Cerber 新变种突现,具有多途径传播与文件加密功能,以及包括防沙箱与反杀毒软件技术在内的防御机制。
调查表明,Cerber 攻击事件不仅占 2017 年第一季度勒索软件攻击总量的 87%,还于过去一年内持续攀升至勒索软件排名榜榜首。2017 年 4 月,趋势科技( TrendMicro )安全研究人员发现 Cerber 已存有六个版本,加之采用的 RaaS 出售模式可为运营商与开发人员创造数百万美元收入。
TrendMicro 威胁分析师吉尔伯特·西森(Gilbert Sison)指出,Cerber 新变种采用多种方法规避传统安全解决方案检测。而为扩大功能、保持领先地位,Cerber 自 2016 年出现以来就已经展现出勒索软件攻击链的多元化开发特征。
此外,Cerber 使用垃圾邮件作为恶意软件传播方式。Cerber 6 附带社工电子邮件,其中包含恶意 JavaScript 文件压缩附件。用户一旦打开附件,JS 文件就开始下载执行有效载荷、创建计划任务,并在两分钟后运行 Cerber 或运行嵌入式 PowerShell 脚本。TrendMicro 专家指出,在攻击链中添加时间延迟功能可使勒索软件有效规避传统沙箱检测。
研究人员指出,Cerber 6 目前可配置添加 Windows 防火墙规则,阻止系统中安装的防火墙、防病毒与反间谍软件产品的所有可执行二进制文件出站流量,限制其检测与缓解功能。此外,Cerber 进一步恶化分析工具与虚拟环境的自我认知能力(通过自我毁灭实现规避)以及针对静态机器学习的检测规避能力。据悉,Cerber 6 还在其加密环节中避免 RSA 与 RC4 算法的实现,有利于加密应用程序编程接口的维护。
原作者:Gabriela Vatu, 译者:青楚,译审:游弋
本文由 HackerNews.cc 翻译整理,封面来源于网络。
转载请注明“转自 HackerNews.cc ” 并附上原文链接0day
文章评论