安全播报

防御吧作为15年知名老牌域名服务商,CNNIC和CANN双认证域名注册商,已经
持续为500多万个域名提供服务,包括智能DNS/自由转移/隐私保护等服务!
黑客将勒索软件隐藏在虚拟机中
2020-05-28 15:24:27 【

这是我们第一次看到用于勒索软件的虚拟机。Ragnar Locker帮派将勒索软件可执行文件嵌入到虚拟机(VM)的虚拟磁盘映像(VDI)上。该勒索软件可执行文件不会被发送到网络中,而不是在物理端点上运行,但仅在虚拟机上运行。


可以用来检测此类攻击的明显迹象或工具是什么?

在物理机上,虚拟机中勒索软件的操作通过已知的且通常受信任的过程进行传输和执行。一个有说服力的信号是单个进程的CPU使用率很高,并且大量写入现有文档和其他文件。防范此类攻击的最佳工具是使用安全工具(反勒索软件),该工具专门用于通过零信任态度的行为监控来检测异常的大容量文件写入。


除了作为一种新技术之外,这种攻击方法又有什么威胁呢?

攻击将勒索软件可执行文件隐藏在一个较大的文件中,该文件具有安全工具通常不处理的文件类型:虚拟磁盘映像(VDI)。此外,勒索软件可执行文件在虚拟机中运行,并且由于底层的虚拟机监控程序技术,物理计算机上的安全工具无法看到该勒索软件可执行文件。


尽管这种尝试没有成功,但是您认为随着虚拟机使用的增加,这种策略将变得更加精明并因此成功吗?

尽管这是一次大胆的攻击,但由于它的占用空间和较高的CPU使用率,它也很嘈杂。在尚未投资勒索软件保护的网络中,这种攻击可能会成功,但是我认为我们不会看到这种方法变得普遍。


您认为哪种技术最受此技术的威胁?

由于更多的勒索软件攻击是人为操作的,因此每个组织都是目标。他们都应做好准备并制定恢复计划(纸上印刷)。成功的垃圾邮件或网络钓鱼电子邮件,暴露的RDP端口,易受攻击的可利用网关设备或被盗的远程访问凭据足以使这些活动的对手站稳脚跟。但是,随着越来越多的犯罪团伙索要数百万美元的赎金,很显然,拥有更多资金和更大攻击面的大型组织面临更大的风险。


我们还应该知道些什么?

在过去的几个月中,我们已经看到勒索软件以多种方式发展。但是Ragnar Locker的对手正在将勒索软件提升到一个新的高度,并在框外进行思考。


他们正在将知名且受信任的虚拟机管理程序同时部署到数百个端点,以及保证运行其勒索软件的预安装和预配置的虚拟磁盘映像(VDI)。



“就像能够与物质世界进行交互的幽灵一样,它们的虚拟机是针对每个端点量身定制的,因此它可以从虚拟机内部对物理机上的本地磁盘和映射的网络驱动器进行加密,并且超出了大多数端点保护的检测范围产品。秘密运行其50 KB勒索软件所涉及的开销似乎是一个大胆而嘈杂的举动,但在某些未得到适当防范的勒索软件的网络中可能会有所收获。


】【打印关闭】 【返回顶部
分享到QQ空间
分享到: 
上一篇日本NTT Com披露数据泄露,影响数.. 下一篇一种新的恶意软件即服务银行木马

立足首都,辐射全球,防御吧专注云防御及云计算服务15年!

联系我们

服务热线:010-56157787 ,010-56159998
企业QQ:4000043998
技术支持:010-56159998
E-Mail:800@fangyuba.com
Copyright ? 2003-2016 fangyuba. 防御吧(完美解决防御与加速) 版权所有 增值许可:京B2-20140042号
售前咨询
公司总机:4000043998 01056155355
24小时电话:010-56159998
投诉电话:18910191973
值班售后/技术支持
售后服务/财务
备案专员
紧急电话:18610088800