按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報

:::

Kasseika 勒索軟體透過BYOVD技術在加密前先停用防毒軟體

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2024-01-31
  • 點閱次數:2496
Kasseika

近期發現最新勒索軟體Kasseika利用具有弱點的驅動程式檔案發起自帶驅動程式攻擊(BYOVD),而這次利用的檔案為Martini驅動程式(Martini.sys/viragt64.sys)( TG Soft 的 VirtIT Agent 系統的一部分),可在加密之前先停用攻擊目標的防毒軟體。

趨勢科技表示在Kasseika勒索軟體案例分析過程發現BlackMatter的影子,包含偽勒索軟體擴充(pseudo-ransom extensions)並使用string.README.txt為勒索訊息的檔案格式,此外,Kasseika利用 ChaCha20 和 RSA 加密演算法對目標檔案進行加密,在檔案名稱後面附加偽隨機字串,這種作法也類似於BlackMatter。

在這次的調查案例中,趨勢科技發現Kasseika是有目的性的進行攻擊,首先會針對目標公司進行社交工程攻擊,從而取得其中一名員工的憑證,利用遠端管理工具(RAT),來取得較高的權限並進行橫向擴散。

Kasseika使用複雜的混淆與反偵錯技術,是一個Themida包裝的32 位元 Windows PE檔案,增加研究人員對其進行逆向工程的難度,同時在加密檔案之前亦會修改 Windows 註冊表行為。此外,研究人員亦發現Kasseika 在加密後,使用「wevutil.exe」工具清除系統事件日誌,掩蓋活動痕跡,使得分析更加的複雜與困難。

 

勒索軟體的防護建議如下:

  1. 以最低權限為原則,確保使用者僅具有實際需要的存取權限
  2. 定期備份組織內部重要系統與資料
  3. 資訊系統與設備應定期檢視更新情況

加強防範釣魚郵件攻擊,勿開啟來路不明的郵件

回頁首