新版本勒索軟體服務惡意程式Thanos採用RIPlace攻擊技術

新版本勒索軟體服務(Ransomware-as-a-Service, RaaS)惡意程式Thanos,係首個採用RIPlace技術之勒索軟體,該技術透過Windows作業系統設計漏洞,破壞受駭電腦之原始檔案,並可讓勒索軟體繞過作業系統安全偵測機制。

 

一般來說,勒索軟體攻擊行為有3個標準步驟,首先係開啟與讀取原始檔案,其次於記憶體中加密檔案,繼而破壞原始檔案。至於破壞原始檔案之方法亦有3種:(1)將加密檔案寫入原始檔案中(2)將加密檔案存入硬碟,利用DeleteFile功能刪除原始檔案(3)將原始檔案存入硬碟,透過Rename功能置換原始檔案。其中,第3種方式係透過Windows作業系統設計漏洞,只需2行程式便能使用該漏洞,資安業者Nyotron於2019年11月揭露此類型新技術,將之命名為RIPlace。

 

當時尚未有勒索軟體採用該技術,微軟則表示該技術不符合安全服務標準,不應被視為漏洞。然而Nyotron使用RIPlace技術之概念性驗證攻擊程式對多家資安產品進行測試,發現聲稱可偵測勒索軟體之防毒軟體,皆無法偵測透過RIPlace技術所執行之攻擊行為。

 

另一資安業者Recorded Future則於2020年1月發現,別名Nosophoros之駭客於地下論壇販售首個採用RIPlace技術之新版本勒索軟體即服務惡意程式Thanos。駭客將Thanos定位為勒索軟體產生器,具備43種配置選項,同時提供精簡版與企業版,兩者差別在於企業版擁有完整功能,如RootKit、RIPlace及在目標組織中橫向移動(Lateral Movement)等功能。

Reference

資料來源:

https://www.nyotron.com/blog/nyotron-discovers-potentially-unstoppable-ransomware-evasion-technique-riplace/

https://www.recordedfuture.com/thanos-ransomware-builder/

https://www.technadu.com/thanos-raas-moving-forward-growing-popularity/104458/