微软已经揭示了四个不同的勒索软件系列——KeRanger、FileCoder、MacRansom 和 EvilQuest——这些系列已知会影响 Apple macOS 系统。“虽然这些恶意软件家族很老,但它们体现了平台上可能存在的功能和恶意行为的范围,”这家科技巨头的安全威胁情报团队在周四的一份报告中表示。
这些勒索软件家族的初始载体涉及Windows制造商所谓的“用户辅助方法”,其中受害者下载并安装木马化应用程序。或者,它也可以作为第二阶段有效负载到达,该有效负载被受感染主机上已经存在的恶意软件丢弃,或者作为供应链攻击的一部分。
无论采用何种作案手法,攻击都沿着类似的路线进行,威胁行为者依靠合法的操作系统功能并利用漏洞闯入系统并加密感兴趣的文件。
这包括使用 Unix find 实用程序以及库函数(如 opendir、readdir 和 closedir)来枚举文件。微软触及的另一种方法,但未被勒索软件采用,需要NSFileManager Objective-C接口。
KeRanger,MacRansom和EvilQuest也被观察到利用基于硬件和软件的检查的组合来确定恶意软件是否在虚拟环境中运行,以试图抵抗分析和调试尝试。
值得注意的是,KeRanger采用了一种称为延迟执行的技术来逃避检测。它通过在启动其恶意功能之前在启动其恶意功能之前沉睡三天来实现这一点。
微软指出,持久性对于确保恶意软件即使在系统重新启动后也能运行至关重要,它是通过启动代理和内核队列建立的。虽然FileCoder使用ZIP实用程序来加密文件,但KeRanger在密码块链(CBC)模式下使用AES加密来实现其目标。另一方面,MacRansom和EvilQuest都利用对称加密算法。
EvilQuest 于 2020 年 7 月首次曝光,它进一步超越了典型的勒索软件,加入了其他类似木马的功能,例如键盘记录、通过注入任意代码破坏 Mach-O 文件以及禁用安全软件。它还包含直接从内存执行任何文件的功能,有效地不会在磁盘上留下有效负载的痕迹。
微软表示:“勒索软件仍然是影响组织的最普遍和最有影响力的威胁之一,攻击者不断发展他们的技术并扩展他们的交易技巧,以投下更广泛的潜在目标网络。”
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...