安全研究人員指出,名為L(zhǎng)ocky的新型勒索軟件借鑒了Dridex銀行惡意軟件的技術(shù)。那么,什么是Dridex惡意軟件技術(shù),Locky與其他類型的勒索軟件有何不同之處?
Nick Lewis:Locky勒索軟件在不斷改進(jìn)其攻擊能力,F(xiàn)ortinet公司稱他們?cè)谠搻阂廛浖淖钚掳姹局邪l(fā)現(xiàn)了這種改進(jìn)。Locky勒索軟件加入域名生成算法來提高命令控制(C&C)通信的靈活性,Locky還對(duì)C&C進(jìn)行了更新,其通信會(huì)進(jìn)行稍微加密以防止網(wǎng)絡(luò)分析。增加這一功能需要惡意軟件編寫者付出極大的努力??紤]到該惡意軟件會(huì)定期增加新的攻擊技術(shù),這可能意味著這是經(jīng)驗(yàn)豐富的網(wǎng)絡(luò)罪犯,而不是低技術(shù)含量的黑客干的。
Locky勒索軟件似乎是從Dridex惡意軟件借鑒了域名生成算法(DGA)的做法。DGA利用受感染機(jī)器的年、月、日以及seed值,讓其可預(yù)測(cè)Locky將注冊(cè)的域名,并提前攻擊這些域名。Forcepoint Security實(shí)驗(yàn)室的研究人員分析了Locky勒索軟件的最新樣本,其中包含顯著改善的DGA而沒有以前的缺陷。
盡管Locky勒索軟件已經(jīng)增加DGA功能,它仍然保留了后備IP地址用于僵尸網(wǎng)絡(luò)的C&C。C&C加密通信已被Fortinet攻破,可在網(wǎng)絡(luò)中被檢測(cè)出來。Fortinet已經(jīng)發(fā)布該C&C系統(tǒng)的攻擊指標(biāo),并建議當(dāng)這些文件還沒有被加密時(shí)企業(yè)應(yīng)檢查本地計(jì)算機(jī)以確定系統(tǒng)是否被感染。