虚拟机帮助勒索软件攻击者逃避检测,但这并不常见

虚拟机帮助勒索软件攻击者逃避检测,但这并不常见

一些勒索软件攻击者使用虚拟机来绕过安全检测,但对于这种复杂技术的采用速度很慢

安全研究人员发现了另一个勒索软件组织,它使用虚拟机(VM)绕过目标设备上的防御工具。虽然可以有效地隐藏勒索软件活动,但这种策略比传统的勒索软件攻击更复杂,并且可能会阻碍攻击者的努力。

这一趋势在去年就出现了,当时Sophos研究人员发现Ragnar Locker勒索软件被部署为每个目标设备上的完整虚拟机,以隐藏勒索软件。几个月后,使用相同的技术发现了Maze勒索软件组,尽管存在一些差异。例如,Ragnar Locker部署在Oracle VirtualBox Windows XP 虚拟机中,而Maze交付的虚拟机运行的是Windows7。

现在,赛门铁克的研究人员发现,另一组使用虚拟机在受感染的机器上运行勒索软件的有效负载。他们报告说,在这种情况下,攻击者在一些受感染的计算机上安装了VirtualBox虚拟机,他们使用的虚拟机似乎运行的是Windows7。

虽然VM中运行的有效负载没有确定,但有“相当强的迹象”表明它是Conti:攻击者中使用的用户名和密码组合之前曾与4月份的旧Conti活动相关联。但是,在部署VM的同一台计算机上,赛门铁克还发现部署了Mount Locker勒索软件。

他们说这很奇怪,因为在VM运行有效负载的目的是逃避检测。将它也部署在主机上是没有意义的。研究人员假设攻击者可能是访问Conti 和Mount Locker的附属机构。他们可能试图在VM上运行有效负载,但当这不起作用时,他们选择在主机上运行Mounti Locker。

这种策略的主要目标是通过将攻击隐藏在虚拟机中来逃避检测,这样加密过程中就不会被发现。攻击者从虚拟机内部映射网络上的文件共享并对其进行加密,而不是在机器上本地运行勒索软件。

Symantec Threat Hunter 团队的主编Dick O'Brien指出,虽然这种技术更微妙,但攻击者更难以实施。“它增加了另一个程度的复杂性”,他谈到虚拟机的使用。“您必须设置虚拟机,使其有权在主机上加密文件或访问文件”

在这种情况下,赛门铁克团队怀疑攻击者没有完全正确理解。

Stealth, But Complicated  隐蔽,但很复杂

当 Sophos 首次使用虚拟机检测到 Ragnar Locker 时,研究人员预计它会成为一种增长趋势。 虚拟机是合法软件,因此它不应该对传统的防病毒工具发出任何警告,也不应该让攻击者在不知不觉中进行操作。 但是几个月过去了,他们才在 2020 年 9 月发现使用该技术的迷宫。

Sophos 的首席研究科学家 Chet Wisniewski 说:“犯罪方面的挑战是巨大的,”他认为在勒索软件攻击中使用虚拟机仍然不常见。 这是发起勒索软件攻击的一种复杂且缓慢的方式。

虚拟机是“一个大文件-它是可以注意到和检测到的东西”,“他可能会被现有的安全机制阻止。这不是企业期望通过其防火墙下载或允许在其环境中下载的东西”。

此外,他补充说,大多数服务器攻击者都是有针对性的。这意味着它们在VM内运行了VM,这不是锁定某人文件时最可靠的策略。他说,大量美元赎金的大型比赛群体有一种模式。他们闯入,保持沉默,找到他们计划加密的敏感数据,并在7到10天内触发攻击。通常,这在晚上或周五开始,因此他们有更多的时间来加密文件。

如果你开始从虚拟机做到这一点,你就会放大那些对这个策略的犯罪分子的另一个负面的时间,“Wisniewski增加了,因为VMS较慢,它是一个映射的网络驱动器,它比计算机本身在计算机身上自然进行加密操作,这是“显着较慢”。”

他指出,使用这种技术的攻击者将仅这样做,如果它对特定受害者有意义。遗留环境在这里特别容易受到攻击。如果一个带有管理员凭据的组中断并注意到业务正在运行遗留防病毒,则可以将其关闭。如果它是基于云的,并且没有多重吸引力的身份验证,它们也可以将其转到那里。

一旦它们闯入,它们会对周围的事情做出反应,”他说。

遗留环境不太可能具有对这样的技术做出反应的安全工具。这种策略仍然罕见的原因是它只能在其围绕安全工具到位的情况下工作。

 企业如何回应
建议使用意识到这种技术的组织采取措施防御攻击者。

“我认为,在知道他们如何进入您的组织以及他们如何在获取凭证和横向移动方面,敦促企业敦促业务经常改变其凭证和限制的人来说,这是一个真正的关键。用户到活动他们的意思是在做。如果有人没有理由创建VM,则阻止他们进行。“就你申请的政策而言”更加严格,他补充到。

一般来说,阻止这些应用程序在不应该使用的情况下阻止这些应用程序,这不是一个坏主意,Wisniewski说。他指的是VirtualBox,它通常在这些攻击中使用,作为应该阻止在环境中运行的东西或在其安装或下载不寻常的地方时检测到。 

“这不应该在服务器上发生”,他说。它可能在工作站上运行,但虚拟化软件通常不会在服务器上运行。

他指出,同样的赎金软件防御建议仍然适用。在检测虚拟化过程中和确保服务器拥有安全软件而不是期望端点保护工具中,它将保护它们能够保护它们免受这些攻击的保护。

原文来源:ZDnet,沃通WoTrus原创翻译整理,转载请注明来源

posted @ 2022-10-12 16:19  沃通WoTrus  阅读(74)  评论(0编辑  收藏  举报