資安威脅趨勢 - 勒索軟體Kasseika濫用防毒軟體停用相關防護機制
勒索軟體Kasseika濫用防毒軟體停用相關防護機制
一、摘要
資安業者趨勢科技近期揭露名為Kasseika的勒索病毒,其說明駭客為了能讓加密檔案流程順利,採用自帶驅動程式(BYOVD)手法,並濫用義大利防毒軟體TG Soft Virt.IT元件來停止相關遠端防毒運作,以及利用遠端管理工具PsExec取得特殊權限,甚至在目標組織的內網環境中橫向移動。
二、存在風險
根據資安業者趨勢科技調查發現,駭客團體會採用釣魚攻擊技術來取得初始存取權限,也會嘗試從目標公司的數名員工中取得帳密資訊,並透過遠端管理工具來取得特殊權限,以及內網橫向移動。
攻擊者會濫用Windows合法工具PxExec執行惡意程式,該合法程式原始設計是為了進行網路管理,但惡意濫用則允許攻擊者遠端部署惡意程式,其部屬之檔案為.bat。
 |
| 駭客濫用PsExec執行惡意檔案.bat[圖片來自:趨勢科技] |
更進一步調查,發現Martini.exe會優先確認Martini.sys驅動是否有成功載入到受感染的系統中,其Martini.sys原始名稱為viragt64.sys,是 TG Soft 開發的 VirIT Agent 系統的一部分。駭客藉由此軟體在已受感染的系統上關閉多種安全工具,如該檔案不存在於受害主機端,會終止相關處理程序,然後再執行駭客自帶、含有弱點的Martini.exe、Martini.sys,並掃描目標電腦所有處理程序。
- IoC:
- 22f8fa1b42e487f6f6d6c6a62bba65267e2d292f80989031f8529558c86a9119 Trojan.Win64.PINCAV.A
- ae635a4dd36a2bf7047b6a63605a9d20aae4bcc313d93068e5e0b6676a32a39f Trojan.Win64.PINCAV.A
- 8a0cd4fb3542458849e20c547a684578dd7fdd4317021dacf5517f607f8ceea7 Trojan.BAT.KASSEIKA.A
- 63c336d18884369c4c721363b88f7a23fe05bc7fc7db84c8b248703b94ca8196 Trojan.BAT.KASSEIKA.B
- 3d52113286b6229ea6ee5ab0be773d4dff8d56d3f54691ad849910e7153979aa Trojan.BAT.KASSEIKA.B
- 07eb1ef3ed7af7cd0c735d20315b66dec3a7d0fc7b1bc604d442f76ce07f2739 HackTool.BAT.Clearlog.A
- d2fcf0e66ba6a81931159c7a76f497f283751e50435dda56d4c912d9034b84a8 HackTool.BAT.Clearlog.A
- cfac38a276ea508da50703915692cb8bd9d734ce74dc051239beb68cf89b2b37 Ransom.Win32.KASSEIKA.A.note
- c33acab1ddbee95302f0d54feb1c49c40dec807cec251fb6d30d056f571155e0 Ransom.Win32.KASSEIKA.YPDLDT
建議改善措施:
- 確保資安設備或軟體皆有定期更新以及主機端定期執行安全掃描。
- 定期備份重要或機敏資料。
- 對內部員工實施教育訓練(如:勒索病毒、社交工程),藉以提供員工資安意識。
- 鼓勵使用者向IT部門或資安部門說明發現可疑電子郵件和文件並使用工具阻止惡意電子郵件。
- 儘速導入雲智維服務,進行資安威脅情資偵測與聯防,降低企業資安風險。
