网络罪犯在赎金软件攻击中使用Microsoft PowerShell
网络犯罪分子正在使用Microsoft的PowerShell脚本语言进行系统管理的奖励制造医疗机构和其他企业的攻击。
当医疗组织通过网络钓鱼电子邮件活动失败时,由安全公司炭黑的研究人员发现了赎金书。
新发现的Ransomware系列 - 研究人员的加强软件 - 通过启用宏的Microsoft Word文档,例如假发票。
这种方法使用PowerShell检索和执行恶意代码表示赎金软件可以避免将新文件写入磁盘并与合法活动混合,使得检测更难。
传统的赎金软件变体通常在系统上安装恶意文件,在某些情况下,可以更容易地检测。
研究人员表示,虽然代码很简单,因此PowerWare是一种新的赎制软件方法,反映了恶意软件作者在交付赎金软件的盒子外思考的日益增长的趋势。
炭黑研究人员发现,通过启用宏的Microsoft Word文档提供了PowerWare,该文档推出了两个PowerShell的实例。
一个实例下载了ransomware脚本,另一个实例将脚本作为输入,以运行恶意代码以加密目标系统上的文件并要求释放它们的需求付款。
在一个有趣的扭曲中,PowerWare最初要求500美元的赎金,但如果在两周后赎金不支付赎金,这增加到1000美元。
根据2016年3月22日发布的McAfee Labs威胁报告,赎金软件越来越受到网络犯罪分子,以赚钱的方式赚钱,在2015年上次与上一季度的比较了26%。
炭黑研究人员表示,为完整数据包捕获的系统提供系统的组织应该能够恢复加密密钥。
研究人员发现,当PowerWare调用其控件和命令服务器时,它通过纯文本协议执行,使流量很容易观察到。
研究人员表示,组织简单地识别来自网络流量的正确域和知识产权信息,以检索加密密钥。
Carbon Black Enterprise Protection用户可以通过启动PowerShell的Word阻止初始CMD.exe,其中包含通过Winword.exe启动时阻止CMD.exe的规则。
他们建议以类似的方式涵盖其他Microsoft Office应用程序 - 例如Excel和PowerPoint - 以及为浏览器设置规则来阻止这些应用程序运行PowerShell。
安全专家andsans Instringeinstructoreds Skoudis警告了2016年旧金山的RSA会议,在过去的一年里,Powershellhas被全面武器。
根据安全公司InfoArmor的首席情报官Andrew Komarov的说法,PowerShell不仅在赎金软件中使用,但在许多与Cyber间谍活动相关的恶意软件样本中。
“它提供了非常灵活的功能来与受害者的操作系统合作,并且许多不良演员由于可能的混淆和多态性的高水平而使用基于脚本的场景,以便绕过基于Windows环境的安全控制,”他说
Security公司普拉德列特产品副总裁Brian Laing表示,很少有用户需要在他们的办公文件中使用宏。
“用户应该始终禁用宏,或者更好地,没有使用宏打开文件,除非它们是100%的文件,文件不是恶意的。如果他们收到宏的文件并且不确定,他们应该联系他们的IT部门来调查该文件。家庭用户应该只是删除文件并继续前进,“他说。
托管安全服务提供商ProfiCio总裁蒂姆McElWee表示,企业应该加强对网络钓鱼攻击,禁用宏并备份其系统的警惕。
“这可以在内部或通过管理的安全服务提供商来完成工业强度安全,”他说。
下一步
频繁的数据备份可以帮助您从勒索软件恢复