在其存在的短暂几个月时间里,Locky勒索软件已经成为了同类型产品中攻击量最多的软件。但是从它最近的发展中我们可以看见软件运行中存在漏洞。 德国一家安全公司Avira的研究人员本周发布报告,报告表示研究人员已经在该恶意软件的命令控制服务器中发现有白帽子黑客侵入的痕迹。 根据Avira公司表示,有人已经侵入并且渗透进一个Locky的C&C服务器,然后将恶意软件的有效荷载替换成了木马文件。这种木马文件一旦被下载到受害者的电脑上,软件就不会正常加密计算机数据,而是会显示出“Stupid Locky”(愚蠢的Locky)字样。 Avria的病毒实验室消毒服务组组长Sven Carlson在博客中说道,“我不相信这些网络罪犯会自己启动这种运行操作,因为这种情况有可能会对他们的声誉产生极大的影响,从而影响他们的收入。当然我也不会说Locky会因为这次事件就此衰败。” 他还说,这次的Locky C&C服务器渗透表明这款恶意软件的运行并不是像运行者想象的那样不可侵犯的。 Carlson还指出最近的另一次事故,很明显是有白帽子黑客侵入服务器,而侵入的服务器是被用来分配控制Drindex银行木马。该服务器被侵入之后,原本应该由服务器分配的恶意链接被替换成了Avria最新的web防病毒软件安装程序。 Carlson写道,“从Dridex和现在Locky的这个例子我们可以看出,即便是网络罪犯们、伪装大师们都还依旧是脆弱的。” Carlson告诉《黑暗读物》,这种白帽子干预是对网络罪犯的一种警告。“这种严重的白帽子干预是想以一种文明的方式告诉你,你也是脆弱的。对于大众来说这也是一个信号,我们应该知道这个世界上没有什么是安全的,即使是专业大师级的网络罪犯也是会被攻击的。” Carlson表示,现在还不清楚到底有多少服务器用来分配和管理Locky。很有可能白帽子黑客只是攻入了这些服务器中的一个。“但是我们不能排除有一种可能性,其他的服务器也已经被影响,甚至整个网络都已经被影响。” 这次侵入新闻之后,还是有另一个安全供应商在本周发表报告,报告显示Locky还是在以惊人的速度在世界各地扩散。 Cloudmark基于公司威胁情报数据可给出的最后一季度威胁报告 表示,Locky已经成为了最大的安全威胁之一,而它是在今年2月才被首次发现的。 Cloudmark的报告中写道,“Locky会加密包括 .docx, .pptx, .xlsx, .jpeg等一长串扩展包作为筹码,他们会通过邮件附件来扩散该恶意勒索软件,在今年3月份,Cloudmark检测到有黑客将Microsoft Word文档中的恶意宏策略转变成了.zip和.rar档案内的混淆脚本。” Cloudmark的主要威胁研究员Greg Leah表示,公司的调查表明从原始卷来看,美国是被Locky攻击最严重的国家,占到Locky相关信息的36%。原因就是美国拥有更多的IP地址和电子邮箱地址空间,可以拥有更高的投资回报率,并且大多数科技运营商那个都在美国有大量的客户。 Leah说,Locky之所以会出现如此戏剧性的激增,其中一个原因就是Windows脚本文件的使用,这种文件在恶意软件分配中并不常见。Locky的经营者们似乎用看似无害,实则包含Jscript代码的.wsf附件提高他们的分配率。“以一种极高的频率进行海量的垃圾电子邮件分发,这是一种极具侵略性的方式。”
|