勒索軟體攻擊發展出加裝VM以躲避防毒偵測的新手法

安全廠商Sophos發現一隻勒索軟體，會在進入受害電腦時安裝VM（virtual machine）以避免被防毒軟體偵測到。

Sophos最近偵測到這隻名為Ragnar Locker的勒索軟體，會在Windows XP VM環境下執行Oracle VirtualBox，以便在防毒軟體偵測不到的「安全環境」中，執行其勒索軟體。

研究人員指出，Ragnar Locker背後的駭客組織一向在植入勒索軟體前，先從目標電腦上竊取資料。四月間駭客已經對葡萄牙能源（Energias de Portugal）網路發動攻擊，聲稱竊取了10TB敏感公司資料，並勒索1580枚比特幣（約1100萬美元）的贖金，否則將公布這批資料。

過去的攻擊中，Ragnar Locker駭客組織會先利用代管服務供應商的系統漏洞，或攻擊Windows Remote Desktop Protocol（RDP）連線以便駭入目標網路。在取得受害者網域的管理員權限，竊取資料後，攻擊者即利用原生的Windows管理員工具，像是PowerShell或Windows群組原則物件（Group Policy Objects，GPO）在網路內橫向移動，最後進入Windows用戶及伺服器。

而在近日的攻擊下，研究人員發現，Ragnar Locker駭客就是利用GPO程序執行Microsoft Installer (msiexec.exe)，傳輸參數後，從遠端Web伺服器悄悄下載並安裝122MB未簽章過的MSI套件。這個套件包含二個檔案，一是舊版Oracle VirtualBox hypervisor，是來自2009年8月5日的Sun xVM VirtualBox 3.0.4。另一個則是Windows XP SP3精簡版（名為MicroXP v0.82）映像檔，名為micro.vdi，這個檔案內含49KB的Ragnar Locker勒索軟體執行檔。

此外該MSI檔還部署可執行檔、批次檔及其他檔案。做了種種準備後，駭客利用一個腳本程式關閉電腦上的安全偵測及通知服務，使其本機磁碟、可移除磁碟、網路磁碟機門戶大開，而主要應用程式、資料庫及備份應用程式等也都解除設防，最後讓Ragnar Locker得以全部加密。

由於所有動作都來自VirutalBox這支App的合法程序，因而主機上防毒軟體無從攔截偵測。安全廠商還觀察到VM內的勒索軟體完全針對每臺機器獨家編譯而成。研究人員說，Ragnar Locker的案例顯示，勒索軟體的攻擊手法已經來到新的境界。

之前安全產業也發現，勒索軟體已經衍生出關閉防毒軟體、或是迫使電腦進入安全模式以避免被偵測等高階能力。