Kasseika 勒索軟體透過BYOVD技術在加密前先停用防毒軟體
- 發布單位:TWCERT/CC
- 更新日期:2024-01-31
- 點閱次數:6354
近期發現最新勒索軟體Kasseika利用具有弱點的驅動程式檔案發起自帶驅動程式攻擊(BYOVD),而這次利用的檔案為Martini驅動程式(Martini.sys/viragt64.sys)( TG Soft 的 VirtIT Agent 系統的一部分),可在加密之前先停用攻擊目標的防毒軟體。
趨勢科技表示在Kasseika勒索軟體案例分析過程發現BlackMatter的影子,包含偽勒索軟體擴充(pseudo-ransom extensions)並使用string.README.txt為勒索訊息的檔案格式,此外,Kasseika利用 ChaCha20 和 RSA 加密演算法對目標檔案進行加密,在檔案名稱後面附加偽隨機字串,這種作法也類似於BlackMatter。
在這次的調查案例中,趨勢科技發現Kasseika是有目的性的進行攻擊,首先會針對目標公司進行社交工程攻擊,從而取得其中一名員工的憑證,利用遠端管理工具(RAT),來取得較高的權限並進行橫向擴散。
Kasseika使用複雜的混淆與反偵錯技術,是一個Themida包裝的32 位元 Windows PE檔案,增加研究人員對其進行逆向工程的難度,同時在加密檔案之前亦會修改 Windows 註冊表行為。此外,研究人員亦發現Kasseika 在加密後,使用「wevutil.exe」工具清除系統事件日誌,掩蓋活動痕跡,使得分析更加的複雜與困難。
勒索軟體的防護建議如下:
- 以最低權限為原則,確保使用者僅具有實際需要的存取權限
- 定期備份組織內部重要系統與資料
- 資訊系統與設備應定期檢視更新情況
加強防範釣魚郵件攻擊,勿開啟來路不明的郵件