中華數位與ASRC研究中心發現勒索病毒的新變形,攻擊者同樣使用Javascript做為勒索病毒的前導程式,只是將惡意的Javascript放在.hta檔中,藉以躲避.js檔過濾條件的偵測!
上一波Locky勒索病毒大量使用了.js檔做為感染的前導,而.js能被Windows執行,是因為Windows作業系統預設啟用了Windows Script Host服務。面對這樣的攻擊,各方專家都提出了攔截.js副檔名或關閉Windows Script Host服務等防範辦法。不過中華數位與ASRC研究中心近期發現勒索病毒新變形,攻擊者同樣使用Javascript做為勒索病毒的前導程式,只是將惡意的Javascript放在.hta檔中。由於Windows作業系統中,點擊.hta檔預設會呼叫Microsoft Internet Explorer起來執行,這一舉直接突破了攔截.js副檔名的過濾條件或關閉Windows Script Host服務等防範辦法。
根據ASRC研究中心的分析,.hta檔中所放置的惡意Javascript檔經過混淆(Obfuscation)處理,不易直接判讀惡意腳本打算進行的動作。
進一步的剖析發現,這個惡意腳本若被執行,則會試圖連線到這三個地方下載惡意檔案:
‧hxxp://www.itogazaidan.jp/HJghjt872
‧hxxp://www.ionut.coman.home.ro/HJghjt872
‧hxxp://twojamuza.y0.pl/HJghjt872
並存在本機的這三個位置:
‧C:\Users\\AppData\Local\Temp/pTOLwCQTqS1
‧C:\Users\\AppData\Local\Temp/pTOLwCQTqS2
‧C:\Users\\AppData\Local\Temp/pTOLwCQTqS3
接著,讀取檔案,並將檔案內容解碼存成dll檔,最後再透過rundll32.exe執行加密勒索程序。攻擊者從來不是省油的燈,只要資安業者公布了新的防範手法,攻擊者就會設法繞過,正所謂「道高一尺,魔高一丈」,資安防範不可一刻輕忽。
中華數位SPAM SQR面對這類型的攻擊,並非單純以攔截.js副檔名的方式防禦。SPAM SQR掛載多重威脅防禦引擎,除可外掛防毒引擎抵抗已知病毒郵件外,內建的惡意檔案分析引擎,可層層分析附件檔案,讓此樣本出現的第一時間原形畢露。
已使用SPAM SQR的客戶請注意定期更新系統以及特徵,以達到最佳防禦效果。如有任何問題請洽中華數位科技客服中心(02)2543-2000。