AvosLocker勒索软件变体使用新技巧禁用防病毒保护

网络安全研究人员披露了AvosLocker勒索软件的一种新变体，该软件利用未修补的安全漏洞破坏目标网络后，会禁用防病毒解决方案以逃避检测。

趋势科技研究人员Christoper Ordonez和Alvin Nieto在周一的分析中表示：“这是我们在美国观察到的第一个能够使用合法的Avast Anti-Rootkit驱动程序文件（asWarPot.sys）禁用防御解决方案的样本”。

“此外，勒索软件还能够使用Nmap NSE脚本扫描多个端点以查找Log4j漏洞（Log4shell）”。

AvosLocker是填补REvil留下的空白的较新勒索软件家族之一，与针对美国关键基础设施的多起袭击有关，其中包括金融服务和政府设施。

2021 7月首次发现的勒索软件即服务（RaaS）分支机构AvosLocker超越了双重勒索，如果目标实体拒绝支付勒索，他将拍卖从受害者那里窃取的数据。

据信，攻击的入口点是通过利用 Zoho 的 ManageEngine ADSelfService Plus 软件 ( CVE-2021-40539 ) 中的远程代码执行漏洞来运行托管在远程服务器上的 HTML 应用程序 ( HTA ) 来促成的。

Trend Micro收集的遥测数据显示，食品和饮料行业在2021 7月1日至2022年2月28日期间是受冲击最大的行业，其次是技术、金融、电信和媒体垂直行业。

据信，通过利用Zoho的ManageEngine ADSelfService Plus软件（CVE-2021-40539）中的远程代码执行缺陷漏洞来运行托管在远程服务器上的HTML应用程序（HTA），攻击的切入点变得更加容易。

研究人员解释道：“HTA执行了一个模糊的PowerShell脚本，该脚本包含外壳代码，能够连接回[命令和控制]服务器以执行任意命令”。

这包括从服务器检索ASPX web shell以及AnyDesk远程桌面软件的安装程序，后者用于部署其他工具来扫描本地网络、终止安全软件和删除勒索软件负载。

复制到受感染端点的一些组件是一个Nmap脚本，用于扫描网络中的Log4Shell远程代码执行缺陷（CVE-2021-44228），以及一个名为PDQ的大规模部署工具，用于向多个端点交付恶意批处理脚本。

批处理脚本本身具有广泛的功能，可以禁用Windows Update、Windows Defender和Windows错误恢复，此外还可以防止安全产品的安全启动执行、创建新的管理帐户和启动勒索软件二进制文件。

还使用了 aswArPot.sys，一个合法的 Avast 反 rootkit 驱动程序，通过武器化捷克公司于 2021 年 6 月解决的驱动程序中现已修复的漏洞来杀死与不同安全解决方案相关的进程。

研究人员指出：“选择特定的rootkit驱动程序文件是因为它能够在内核模式下执行（因此以高权限运行）”。此变体还可以修改已安装安全解决方案的其他详细信息，例如禁用法律公告。