一位安全研究人员发现了与流行的勒索软件和恶意软件有关的关键缺陷——这种情况可能导致其创建者完全重新考虑渗透潜在受害者的方法。
目前,最活跃的基于勒索软件的组织包括 Conti、REvil、Black Basta、LockBit 和 AvosLocker。然而, 据 Bleeping Computer 报道,这些网络团伙开发的恶意软件被发现带有关键的安全漏洞。
这些缺陷很可能被证明是对上述群体的破坏性启示——最终,这些安全漏洞可以成为目标,以防止大多数勒索软件的创建;系统中包含的文件的加密。
专门从事恶意软件漏洞研究的安全研究员 hyp3rlinx 检查了属于领先勒索软件组的恶意软件菌株。有趣的是,他说这些样本暴露在动态链接库 (DLL) 劫持中,这是一种传统上由攻击者自己使用的方法,通过恶意代码攻击程序。
“DLL 劫持仅适用于 Windows 系统,并利用应用程序在内存中搜索和加载所需的动态链接库 (DLL) 文件的方式,”Bleeping Computer 解释道。 “检查不足的程序可以从其目录之外的路径加载 DLL,提升权限或执行不需要的代码。”
与 hyp3rlinx 检查的勒索软件样本相关的漏洞——所有这些样本都来自 Conti、REvil、LockBit、Black Basta、LockiLocker 和 AvosLocker——授权代码基本上可以“控制和终止恶意软件预加密”。
由于发现了这些缺陷,hyp3rlinx 能够设计出组装成 DLL 的漏洞利用代码。从这里,该代码被分配了一个特定的名称,从而有效地欺骗恶意代码将其检测为自己的。最后的过程涉及加载所述代码,以便开始加密数据的过程。
方便的是,安全研究人员上传了一段视频,该视频展示了如何使用 DLL 劫持漏洞(由勒索软件组织 REvil)在恶意软件攻击开始之前结束它。
发现这些漏洞的意义
正如 Bleeping Computer 所强调的那样,勒索软件所针对的计算机的典型区域是可以容纳敏感数据的网络位置。因此,hyp3rlinx 断言,在通过将 DLL 放置在特定文件夹中加载 DLL 漏洞利用后,理论上应该停止勒索软件进程,然后才能造成损害。
恶意软件能够逃避安全缓解过程,但 hyp3rlinx 强调恶意代码在面对 DLL 时完全无效。
也就是说,研究人员的调查是否会在防止或至少减少勒索软件和恶意软件攻击的影响方面产生持久的变化,这完全是另一个问题。
Bleeping Computer 说:“如果样本是新的,那么该漏洞很可能只会在短时间内起作用,因为勒索软件团伙会很快修复错误,尤其是当它们袭击公共场所时。” “即使这些发现在一段时间内被证明是可行的,勒索软件团伙所针对的公司仍然面临重要文件被盗和泄露的风险,因为渗透以迫使受害者支付赎金是该威胁行为者作案手法的一部分。 ”
尽管如此,该网络安全网站补充说,hyp3rlinx 的漏洞利用“至少可以证明对防止可能造成重大损害的运营中断很有用。”
因此,尽管勒索软件组织可能会在不久的将来对其进行修补,但发现这些漏洞是影响危险代码的开发和分发的令人鼓舞的第一步。它还可能导致更先进的缓解方法来防止攻击。
勒索软件组不包括普通黑客。创建和传播有效的恶意软件本身就是一项复杂的任务,成功攻击所带来的财务意外可为犯罪者带来数亿美元的收入。这些不义之财中有相当一部分是从无辜的个人身上榨取的。