微软揭示4个针对macOS的勒索软件家族使用的策略

微软已经阐明了四种不同的勒索软件系列——KeRanger、FileCoder、MacRansom 和 EvilQuest——已知它们会影响 Apple macOS 系统。

这家科技巨头的安全威胁情报团队在周四的一份报告中表示： “虽然这些恶意软件家族很老，但它们体现了平台上可能存在的各种功能和恶意行为。”

这些勒索软件系列的初始向量涉及 Windows 制造商所称的“用户辅助方法”，其中受害者下载并安装木马化的应用程序。

或者，它也可以作为第二阶段的有效载荷到达，该有效载荷由受感染主机上已经存在的恶意软件丢弃，或者作为供应链攻击的一部分。

无论采用何种作案手法，攻击都沿着类似的路线进行，威胁行为者依赖合法的操作系统功能并利用漏洞闯入系统并加密感兴趣的文件。

这包括使用 Unix 查找实用程序以及 opendir、readdir 和 closedir 等库函数来枚举文件。另一种被微软触及但未被勒索软件采用的方法需要NSFileManager Objective-C 接口。

KeRanger、MacRansom 和 EvilQuest 还被观察到结合使用基于硬件和软件的检查来确定恶意软件是否在虚拟环境中运行，以试图抵制分析和调试尝试。值得注意的是，KeRanger 采用了一种称为延迟执行的技术来逃避检测。它通过在启动后休眠三天然后启动其恶意功能来实现这一点。

微软指出，持久性对于确保恶意软件即使在系统重启后仍能运行至关重要，它是通过启动代理和内核队列建立的。

FileCoder 使用 ZIP 实用程序来加密文件，而 KeRanger在密码块链接 ( CBC ) 模式下使用AES 加密来实现其目标。另一方面，MacRansom 和 EvilQuest 都利用对称加密算法。

EvilQuest于 2020 年 7 月首次曝光，它进一步超越了典型的勒索软件，加入了其他类似木马的功能，例如键盘记录、通过注入任意代码破坏 Mach-O 文件以及禁用安全软件。

它还包含直接从内存中执行任何文件的功能，有效地在磁盘上不留下有效载荷的痕迹。

微软表示：“勒索软件仍然是影响组织的最普遍和最有影响力的威胁之一，攻击者不断发展他们的技术并扩展他们的交易技巧以覆盖更广泛的潜在目标。”