新版Thanos勒索軟件服務繞過多數(shù)殺軟技術

安全企業(yè)Nyotron在去年11月披露了可供勒索軟件繞過安全偵測機制的RIPlace技術，當時尚未有任何勒索軟件采用該技術，不過，另一安全企業(yè)Recorded Future最近發(fā)現(xiàn)，新版的Thanos勒索軟件已經(jīng)加入了RIPlace技術，還把它納入“企業(yè)版”功能中。

Nyotron解釋，勒索軟件的攻擊有三個標準步驟，先打開及讀取源文件，再于內存中加密文件，之后破壞源文件。而破壞源文件的方法有3種，把加密文件寫進源文件中;或是直接將加密文件存入硬盤，再利用DeleteFile功能刪除源文件;也能選擇把源文件存入硬盤，再通過Rename功能置換源文件，幾乎所有黑客都采用前面兩種，而第三種則屬于Windows操作系統(tǒng)的設計漏洞，尚未被黑客利用，但只需要兩行程序就能開啟，并將它命名為RIPlace技術。

當時Nyotron還公布了RIPlace的概念性驗證攻擊程序，而且測試了坊間號稱可偵測勒索軟件的十多種殺毒工具，發(fā)現(xiàn)它們全都無法逮到通過RIPlace技術所執(zhí)行的攻擊行動。而Recorded Future則發(fā)現(xiàn)，外號為Nosophoros的黑客今年1月在地下論壇中兜售的Thanos勒索軟件，便采用了RIPlace技術，很可能是市場上第一個采用RIPlace的勒索軟件。

黑客將Thanos定位為勒索軟件產生器，具備43種配置選項，還提供只訂閱一個月的輕量版（Light），以及可訂閱整個Thanos生命周期的企業(yè)版（Company），而高端的RootKit、RIPlace或在目標組織中橫向移動的功能，都只出現(xiàn)在企業(yè)版中。Recorded Future預測，勒索軟件即服務的市場將會繼續(xù)茁壯發(fā)展，且訂閱輕量版的用戶都能成為Thanos會員，而Thanos的企業(yè)客戶，則能創(chuàng)建自己的勒索軟件即服務業(yè)務。