📐 🦍 🌪️ 安全周22：虚拟机中的勒索软件 ⏲️ 📛 🌂

上周，Sophos专家披露了一个有趣的Ragnar Locket加密木马的详细信息（ZDNet中的文章，Sophos博客上的技术文章）。勒索软件将成熟的虚拟机拖入被攻击的系统，在该系统中启动，可以访问主机文件系统并加密数据。除其他外，此案例表明安装程序膨胀已达到恶意软件的水平。为了隐藏实际大小为49 KB的恶意代码，将122 MB的安装程序交付给受害者，然后将其解压缩为282 MB。

据Sophos称，勒索软件使用面向业务的分组。一个例子是对电力供应商Energias de Portugal的袭击。据称，其中有10 TB的数据被盗，网络罪犯需要1580比特币进行解密。在媒体中，虚拟机操作被描述为绕过防病毒软件的有效技巧。但是实际上，这种“创新”不需要对安全技术进行任何更改。

只需要正确应用现有的。

该公司的报告没有确切说明计算机是如何被感染的。要启动恶意对象，您必须说服用户这样做或利用此漏洞。仅有迹象表明可以利用RDP连接的漏洞或简单密码。还提到了对托管服务提供商的攻击，换句话说，就是来自另一家公司的远程管理员，他们可以完全访问潜在受害者的基础结构。足以侵入这样的组织，从而能够攻击其客户。

然后一切都很简单。Oracle Virtualbox虚拟机已安装在计算机上，而且它的历史令人难以置信，它是2009年的版本，也代表Sun。使用该脚本，可以传输虚拟机的配置参数。将启动Windows XP的截短图像（MicroXP 0.82，内部版本2008）。建立虚拟网络连接，并增加对主机上所有磁盘的访问：

Sophos出版物中未描述加密过程。在他之前，另一个脚本关闭了主系统上的应用程序和服务列表，以解锁可编辑文件。最后，将带有赎金要求的文本文件放在受攻击的计算机上。

这里没有高级技术：这是一个准备好的虚拟机和一堆脚本。从保护解决方案的角度来看，这种攻击从根本上与可以访问网络文件夹的受感染计算机在公司网络上的外观没有什么不同。是的，有一个细微差别-被攻击机器上的恶意软件显然甚至没有出现：它隐藏在虚拟映像中，仅启动合法软件。

通过分析程序的行为或远程计算机上的动作来寻找清晰的标记“我要在此处加密内容”，可以解决该问题。一种节省复杂恶意技术开发成本的奇怪方法。

还有什么事

寄存器已发布有关EasyJet攻击的详细信息。在2019年10月至2020年1月之间，网络犯罪分子从相对较少的客户那里窃取了信用卡信息（根据官方数据，大约2200）。从受害者的报告来看，预订信息（但不包括付款数据）的泄漏已经影响了数百万用户。

Trustwave 报告说攻击者使用了Google Firebase服务。为开发人员创建的服务用于托管网络钓鱼页面。这只是在网络攻击中使用Google合法工具的众多尝试之一。

网络罪犯攻击服务是为大流行的受害者支付赔偿。新鲜（但不是唯一的一种）一个例子是对美国政府服务的攻击。该组织据称在尼日利亚开展业务，利用居民和公司的数据将补偿金发送到他们的银行帐户。所谓的“用户名和密码”数据库（称为“集合1”）的发布者

被捕，该数据库最初在黑市上可用，该数据库有7.73亿个条目，于去年1月公开提供。

来自英国，德国和瑞士的研究人员发现了蓝牙协议中的一个新漏洞（新闻，研究工作）授权过程中的缺陷使攻击者可以模拟受害者已与之建立连接的设备。该问题已在28个不同芯片组上的31个带有蓝牙的设备的样本中得到确认。

安全周22：虚拟机中的勒索软件

还有什么事

More articles: