勒索軟件成為現今網絡的一大威脅,除了加密檔案及要求受害人付款,最令人煩惱的是其不斷出現變種和新功能,如早前報導過的 Cerber 就被防毒軟件公司 Invincea 發現可能是首款可以感染電腦並發動 DDoS 的勒索軟件。近日該公司在分析 Cerber 期間,再發現其背後的編程人員利用名為「Malware Factory」的技術,令勒索軟件能每 15 秒變種變形,從而避過安全防護軟件的偵測。
Cerber 可謂繼 CryptoWall、Locky 後現今網絡上最活躍的勒索軟件之一,而暫時亦未有個人或網絡安全公司開發出解密軟件。
繼早前 Unwire.pro 報導過防毒軟件公司 Invincea 分析疑為改良版的 Cerber,發現它除了具備基本的勒索軟件功能外,似乎還有發起 DDoS 的能力,很可能是首款有該能力的勒索軟件。近日該公司在分析 Cerber 再有新發現。
每 15 秒變種 Cerber 令防毒軟件難以偵測
Invincea 方面表示,近日其安全研究人員透過 Cerber 記錄檔分析其最新的感染技術,並嘗試再現其感染過程時,發現 Cerber 的有效負載帶有不同的檔案 Hash 函數。過程中研究人員亦發現 Cerber 會不斷自動生成第三、第四及更多不同的 Hash 函數,最後研究人員得出的結論是 Cerber 背後連接的中央伺服器每 15 秒就會生成不同檔案的 Hash 函數改變 Cerber 編譯的二進製文件。
研究人員表示這是「Malware Factory」的典型特徵,透過自動化的惡意軟件組裝生產線,將 Cerber 的有效負載放在一起但卻針對檔案的內部結構作出微細的變動,令生成的檔案具有獨特的 Hash 函數。
這樣令依靠特徵碼判別惡意軟件的防毒軟件未能發現 Cerber,讓其可繞過基本的掃描技術,而且每 15 秒生成獨特的新 Hash 函數亦令其更難被發現,更容易達到感染受害者電腦的目的。
若新的變種功能配合 DDoS 的潛在風險,黑客利用 Cerber 除了可透過加密檔案來勒索受害人,還可以出租彊屍電腦來賺取更多收入。由於不是所有受害人都會付款解決問題,黑客可搾取受害人電腦的網絡來發動 DDoS 攻擊;即使受害人付款了事,但他們如果沒有好好檢查系統的話,其電腦仍可能是殭屍電腦。
