香港aa三级久久三级,色94色欧美sute亚洲线路二,色偷偷亚洲天堂av,玩弄japan白嫩少妇hd小说,午夜福利在线观看午夜电影街bt

中文版 Global

勒索軟件“致盲”安全軟件_360強(qiáng)力守護(hù)不受影響

  • 2025-05-13 18:43:48

再度活躍竟因手握最新攻擊利器

近期,360安全智腦監(jiān)測(cè)到Babuk勒索家族活動(dòng)數(shù)據(jù)異常。進(jìn)一步分析數(shù)據(jù)發(fā)現(xiàn),本次活躍度提升的主要原因是:Babuk勒索家族的最新變種攜帶了新的攻擊利器導(dǎo)致。

從歷史記錄來(lái)看,該家族曾在早年間因源碼泄露導(dǎo)致其變種泛濫,最終也成為變種最為豐富的勒索家族之一。目前已監(jiān)控到的其攻擊方式,涵蓋了幾乎所有的勒索攻擊常見(jiàn)手法,而其可感染的系統(tǒng)也覆蓋了從Windows、Linux到VMware ESXi等多種常見(jiàn)平臺(tái),是一款活躍度常年居高不下的勒索軟件。

兵出奇招,憑空創(chuàng)造自??沾?/span>

本次事件的起因,是Babuk的最新變種在近期又增加了新的攻擊手段。該勒索軟件在安全軟件更新升級(jí)的防護(hù)空檔期發(fā)起“偷襲”。常規(guī)的安全軟件通常都具備較為嚴(yán)密的自我保護(hù)機(jī)制,能夠避免被木馬病毒輕易關(guān)閉。因此,Babuk勒索的最新變種有意利用了安全軟件更新升級(jí)的防護(hù)薄弱期,在其準(zhǔn)備進(jìn)行攻擊時(shí),會(huì)嘗試啟動(dòng)安全軟件的升級(jí)流程。一旦成功,安全軟件很可能在升級(jí)安裝時(shí)臨時(shí)關(guān)閉自我防護(hù),從而出現(xiàn)一個(gè)短暫的“自保空窗期”,而B(niǎo)abuk勒索軟件此時(shí)便會(huì)抓住這個(gè)空窗期來(lái)結(jié)束安全軟件進(jìn)程。

根據(jù)對(duì)360云端大數(shù)據(jù)的匯總分析,此類(lèi)攻擊較為典型的攻擊流程圖如下:

圖1. Babuk勒索最新攻擊手段攻擊流程示意圖?

360強(qiáng)力守護(hù)不受影響

面對(duì)這種另辟蹊徑的新型攻擊手段,360終端安全產(chǎn)品在設(shè)計(jì)之初便考慮到此類(lèi)問(wèn)題——攻擊者遠(yuǎn)程卸載、遠(yuǎn)程更新、強(qiáng)制刪除等對(duì)抗手法,均無(wú)法對(duì)360終端安全產(chǎn)品構(gòu)成實(shí)質(zhì)性威脅。同時(shí),360安全產(chǎn)品可以對(duì)Babuk勒索最新變種的這一波攻勢(shì),直接進(jìn)行有效攔截。

圖2. 360安全大腦攔截Babuk勒索軟件最新變種?

實(shí)際上,與Babuk本輪攻擊類(lèi)似的手法在國(guó)內(nèi)并不罕見(jiàn),360安全終端每天都能偵測(cè)到并攔截大量針對(duì)安全軟件的攻擊。

尤其是“卸載攻擊”——黑客通常會(huì)在獲取到一臺(tái)設(shè)備的權(quán)限后,首先嘗試卸載360安全產(chǎn)品,以清理這塊最大的“絆腳石”。而當(dāng)黑客發(fā)現(xiàn)無(wú)法卸載安全軟件時(shí),又會(huì)再次嘗試結(jié)束安全軟件的進(jìn)程。

圖3. 360安全大腦阻止黑客的卸載操作?

由于360安全終端的自我保護(hù)能力必須擁有系統(tǒng)最高權(quán)限的驅(qū)動(dòng)才能關(guān)閉,利用高權(quán)限工具驅(qū)動(dòng)的攻擊方式應(yīng)運(yùn)而生?;鸾q劍、PCHunter等具有高權(quán)限的安全工具驅(qū)動(dòng)都被這種方式利用過(guò)。此外,多家殺毒軟件的驅(qū)動(dòng)程序也曾被利用過(guò),我們已發(fā)現(xiàn)十余家頗具規(guī)模的國(guó)內(nèi)外主流安全廠(chǎng)商的驅(qū)動(dòng)曾被此類(lèi)攻擊利用。此外,通過(guò)全面排查分析,360還發(fā)現(xiàn)了數(shù)十家規(guī)模不等的安全廠(chǎng)商的驅(qū)動(dòng)程序存在被利用的安全隱患……

而當(dāng)發(fā)現(xiàn)既無(wú)法卸載,又無(wú)法結(jié)束安全軟件的情況下,攻擊者還會(huì)嘗試通過(guò)模擬鼠標(biāo)點(diǎn)擊的方式來(lái)關(guān)閉安全軟件。對(duì)于此類(lèi)模擬點(diǎn)擊的攻擊手段,我們也具備對(duì)應(yīng)的防護(hù)功能,避免終端產(chǎn)品被關(guān)閉。

圖4. 360安全大腦攔截模擬鼠標(biāo)點(diǎn)擊操作?

Babuk家族簡(jiǎn)介

Babuk又被稱(chēng)作Babyk或Babuk Locker。該勒索軟件最早出現(xiàn)于2021年1月初,是一款采用RaaS模式的雙重勒索軟件——其不僅會(huì)加密受害者的文件,還會(huì)在實(shí)施加密前,竊取受害者系統(tǒng)中的重要數(shù)據(jù),作為威脅受害者支付贖金的重要籌碼。

該家族在2021年5月最為活躍,參與了至少42起攻擊事件。但隨后因其組織內(nèi)部在竊取到的華盛頓警方數(shù)據(jù)處理問(wèn)題上出現(xiàn)分歧,導(dǎo)致該團(tuán)伙一步步走向分裂,同時(shí)該家族的加密程序生成器也被公開(kāi)。不過(guò),就在同月,Babuk便在其數(shù)據(jù)泄露網(wǎng)站上宣布,將不再依賴(lài)加密受害者文件的運(yùn)營(yíng)模式,而是會(huì)重建暗網(wǎng)數(shù)據(jù)泄露網(wǎng)站,只進(jìn)行竊取數(shù)據(jù)攻擊。

而在2021年9月7日,一個(gè)自稱(chēng)是Babuk開(kāi)發(fā)人員的黑客在暗網(wǎng)論壇上公布了Babuk勒索軟件源碼。在此之后的Babuk多個(gè)衍生家族,以及2025年初聲稱(chēng)再度回歸的Babuk2.0,都是基于該公開(kāi)源碼進(jìn)行修改的變種版本。

圖5. Babuk泄露的源碼?

Babuk通常會(huì)關(guān)閉受害者系統(tǒng)中的安全和備份服務(wù)后再進(jìn)行加密,同時(shí)竊取數(shù)據(jù)用于“雙重勒索”策略。其傳播方式通常包括釣魚(yú)郵件、弱口令暴力開(kāi)放的RDP端口以及利用各類(lèi)軟件漏洞。Babuk傾向選擇支付能力強(qiáng)的目標(biāo),一旦入侵,會(huì)全面破壞數(shù)據(jù)與系統(tǒng),通常還會(huì)刪除備份,以迫使受害者交付贖金。2025年后的變種版本則融入了區(qū)別于傳統(tǒng)傳播手段的網(wǎng)絡(luò)詐騙方案。

Babuk家族在國(guó)內(nèi)一直有傳播,廣東省是該家族的主要傳播區(qū)域,北京、上海等經(jīng)濟(jì)發(fā)達(dá)城市也偶有傳播。

360安全衛(wèi)士

熱點(diǎn)排行

用戶(hù)
反饋 返回
頂部