研究人员利用 DLL 劫持漏洞阻止 REvil 勒索软件

安全研究人员发现,REvil 勒索软件有一个漏洞,可以利用该漏洞在恶意软件加密受感染计算机上的文件之前停用该恶意软件。Conti、Lockbit 和其他多产的勒索软件显然具有类似的漏洞。

运行恶意软件漏洞跟踪网站Malvuln.com 的John Page ( hyp3rlinx )发现 REvil 在其所在目录中搜索并执行 DLL。通过劫持易受攻击的 DLL 并执行特制代码,他可以在 REvil 开始加密文件之前停止并终止它。

“我们不需要依赖哈希签名或第三方产品,恶意软件 [原文如此] 漏洞为我们工作,”佩奇写道。使用这种技术,即使 REvil 在执行其有效负载之前设法杀死反恶意软件解决方案,它也会停止运行。

Page 发布了一个概念验证视频(见下文),展示了如何利用该漏洞。

用户可以将 DLL 添加到目录和网络共享中作为附加的防御层。

“针对我们公司和基础设施的勒索软件攻击永无止境,因此我采取了攻守兼备的方法,并尝试应用漏洞攻击对策,它奏效了,”佩奇告诉The Daily Swig。

Page 发现 Conti、Lockbit 和其他广泛使用的勒索软件具有类似的漏洞。其他类型的恶意软件也很容易受到攻击。

“正如我在分析了数千个恶意软件后注意到的那样,很大一部分恶意软件易受此漏洞利用类别的攻击,”他说。

Page 强调,这种技术不能替代好的旧端点解决方案,应该被视为补充防御层。

“迄今为止的解决方案非常不同(例如,签名检测或备份数据等防御措施)并且仍然有效,”Page 说。“使用这个常见问题拦截和利用勒索软件可以被视为另一层防御。”

Page 承认,勒索软件开发人员可以修补他们的恶意软件以对抗该漏洞,但在打击网络犯罪方面的胜利不容小觑。

“他们会适应的,”他说。“但如果我们可以强迫他们重构代码或者改变他们的构建过程,这可能会成为他们身边的一根恼人的刺,并提高标准。请记住,较旧的菌株仍然受到影响。”

网络安全公司 BlackFog 的首席执行官兼创始人 Darren Williams 告诉The Daily Swig ,虽然该代码可以成功阻止 REvil 攻击,但从组织的角度来看,它需要一个复杂的部署策略。

“在查看 REvil 的真正威胁时,组织必须着眼于一种易于操作、适应性强并提供无缝集成以主动应对这些威胁的方法,”他说。“对于这些处于风险中的组织,正如我们经常看到的那样,必须不断评估漏洞,以确保提前制定适当的协议。”

根据 Secureworks 研究人员对新勒索软件样本的分析,REvil 勒索软件团伙可能在长期不活动后重新浮出水面。俄罗斯当局于今年 1 月逮捕了 14 名涉嫌该组织的成员,而与 REvil 相关的网站于 2021 年 7 月神秘消失。

发表评论

评论已关闭。

相关文章