這是我們第一次看到用于勒索軟件的虛擬機。Ragnar Locker幫派將勒索軟件可執(zhí)行文件嵌入到虛擬機(VM)的虛擬磁盤映像(VDI)上�。該勒索軟件可執(zhí)行文件不會被發(fā)送到網(wǎng)絡(luò)中,而不是在物理端點上運行���,但僅在虛擬機上運行����。
可以用來檢測此類攻擊的明顯跡象或工具是什么����?
在物理機上,虛擬機中勒索軟件的操作通過已知的且通常受信任的過程進行傳輸和執(zhí)行��。一個有說服力的信號是單個進程的CPU使用率很高,并且大量寫入現(xiàn)有文檔和其他文件�����。防范此類攻擊的最佳工具是使用安全工具(反勒索軟件)����,該工具專門用于通過零信任態(tài)度的行為監(jiān)控來檢測異常的大容量文件寫入。
除了作為一種新技術(shù)之外�����,這種攻擊方法又有什么威脅呢��?
攻擊將勒索軟件可執(zhí)行文件隱藏在一個較大的文件中����,該文件具有安全工具通常不處理的文件類型:虛擬磁盤映像(VDI)。此外�����,勒索軟件可執(zhí)行文件在虛擬機中運行�,并且由于底層的虛擬機監(jiān)控程序技術(shù),物理計算機上的安全工具無法看到該勒索軟件可執(zhí)行文件����。
盡管這種嘗試沒有成功�����,但是您認為隨著虛擬機使用的增加,這種策略將變得更加精明并因此成功嗎���?
盡管這是一次大膽的攻擊�,但由于它的占用空間和較高的CPU使用率���,它也很嘈雜�����。在尚未投資勒索軟件保護的網(wǎng)絡(luò)中����,這種攻擊可能會成功���,但是我認為我們不會看到這種方法變得普遍�����。
您認為哪種技術(shù)最受此技術(shù)的威脅�?
由于更多的勒索軟件攻擊是人為操作的,因此每個組織都是目標�。他們都應(yīng)做好準備并制定恢復(fù)計劃(紙上印刷)。成功的垃圾郵件或網(wǎng)絡(luò)釣魚電子郵件�,暴露的RDP端口,易受攻擊的可利用網(wǎng)關(guān)設(shè)備或被盜的遠程訪問憑據(jù)足以使這些活動的對手站穩(wěn)腳跟�。但是,隨著越來越多的犯罪團伙索要數(shù)百萬美元的贖金����,很顯然,擁有更多資金和更大攻擊面的大型組織面臨更大的風(fēng)險�����。
我們還應(yīng)該知道些什么�����?
在過去的幾個月中��,我們已經(jīng)看到勒索軟件以多種方式發(fā)展��。但是Ragnar Locker的對手正在將勒索軟件提升到一個新的高度����,并在框外進行思考����。
他們正在將知名且受信任的虛擬機管理程序同時部署到數(shù)百個端點��,以及保證運行其勒索軟件的預(yù)安裝和預(yù)配置的虛擬磁盤映像(VDI)����。
“就像能夠與物質(zhì)世界進行交互的幽靈一樣��,它們的虛擬機是針對每個端點量身定制的�����,因此它可以從虛擬機內(nèi)部對物理機上的本地磁盤和映射的網(wǎng)絡(luò)驅(qū)動器進行加密�����,并且超出了大多數(shù)端點保護的檢測范圍產(chǎn)品����。秘密運行其50 KB勒索軟件所涉及的開銷似乎是一個大膽而嘈雜的舉動,但在某些未得到適當(dāng)防范的勒索軟件的網(wǎng)絡(luò)中可能會有所收獲�。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
