勒索软件 cerber 新变种携带防沙箱、反杀软等防御功能
2017-05-05 11:29:45
据外媒本月 3 日报道,勒索软件 新变种突现,具有多途径传播与文件加密功能,以及包括防沙箱与反杀毒软件技术在内的防御机制。
调查表明,cerber 攻击事件不仅占 2017 年第一季度勒索软件攻击总量的 87%,还于过去一年内持续攀升至勒索软件排名榜榜首。2017 年 4 月,趋势科技( trendmicro )安全研究人员发现 cerber 已存有六个版本,加之采用的 raas 出售模式可为运营商与开发人员创造数百万美元收入。
trendmicro 威胁分析师吉尔伯特·西森(gilbert sison)指出,cerber 新变种采用多种方法规避传统安全凯发娱乐的解决方案检测。而为扩大功能、保持领先地位,cerber 自 2016 年出现以来就已经展现出勒索软件攻击链的多元化开发特征。
此外,cerber 使用垃圾邮件作为恶意软件传播方式。cerber 6 附带社工电子邮件,其中包含恶意 javascript 文件压缩附件。用户一旦打开附件,js 文件就开始下载执行有效载荷、创建计划任务,并在两分钟后运行 cerber 或运行嵌入式 powershell 脚本。trendmicro 专家指出,在攻击链中添加时间延迟功能可使勒索软件有效规避传统沙箱检测。
研究人员指出,cerber 6 目前可配置添加 windows 防火墙规则,阻止系统中安装的防火墙、防病毒与反间谍软件产品的所有可执行二进制文件出站流量,限制其检测与缓解功能。此外,cerber 进一步恶化分析工具与虚拟环境的自我认知能力(通过自我毁灭实现规避)以及针对静态机器学习的检测规避能力。据悉,cerber 6 还在其加密环节中避免 rsa 与 rc4 算法的实现,有利于加密应用程序编程接口的维护。
官方微信