在野外检测到具有代码注入功能的新型无文件勒索软件

虽然新形式的网络犯罪正在上升，但传统活动似乎正在转向更秘密的技术，这些技术具有无限的攻击载体和较低的检测率。

安全研究人员最近发现了一种新的无文件勒索软件，名为Sorebrecht，“它将恶意代码注入目标系统上的合法系统进程（svchost.exe），然后自毁以逃避检测。

与传统勒索软件不同，Sorebrect的设计目标是企业的服务器和端点。然后，注入的代码在本地计算机和连接的网络共享上启动文件加密过程。

这种无文件勒索软件首先通过暴力强迫或其他方式破坏管理员凭据，然后使用Microsoft的Sysinternals PsExec命令行实用程序加密文件。

Trend Micro表示：“PsExec可以让攻击者运行远程执行的命令，而不是提供并使用整个交互式登录会话，或者手动将恶意软件转移到远程机器上，就像在RDPs中一样。”。

Sorebrect还加密网络共享

Sorebrect还扫描本地网络，寻找其他连接的计算机，并锁定其上可用的共享文件。

研究人员说：“如果共享被设置为任何连接到它的人都有读写权限，那么共享也将被加密。”。

然后，恶意勒索软件会删除受感染机器上的所有事件日志（使用wevtutil.exe）和卷影副本（使用vssadmin），这些日志和卷影副本可能会提供法医证据，例如系统上执行的文件及其时间戳，这使得这种威胁很难检测到。
此外，Sorebrect使用Tor网络协议试图匿名化其与指挥与控制（C&C）服务器的通信，就像几乎所有其他恶意软件一样。

Sorebrict勒索软件在全球传播

Sorebrect无文件勒索软件的设计目标是制造、技术和电信等多个行业的系统。

据Trend Micro称，Sorebrect最初的目标是科威特和黎巴嫩等中东国家，但从上个月开始，这种威胁已开始感染加拿大、中国、克罗地亚、意大利、日本、墨西哥、俄罗斯、台湾和美国的人。

研究人员指出：“考虑到勒索软件的潜在影响和盈利能力，如果SOREBRECT出现在世界其他地区，甚至出现在网络犯罪地下组织，在那里它可以作为一种服务进行兜售，这并不令人惊讶。”

这不是研究人员第一次发现无文件恶意软件。两个月前，塔洛斯的研究人员发现了DNSMessenger攻击这是完全无文件的，并使用DNS TXT消息传递功能危害系统。

今年2月，卡巴斯基的研究人员还发现了仅存在于受损计算机内存中的无文件恶意软件，该软件被发现针对40个国家的银行、电信公司和政府机构。

防止勒索软件攻击的方法

由于勒索软件的目标不是个人而是组织，系统管理员和信息安全专业人员可以通过以下方式保护自己：

• 限制用户写入权限：一个重要因素是，通过授予用户完全权限，网络共享暴露给勒索软件。
• 限制PsExec的权限：限制PsExec并仅向系统管理员提供运行它们的权限。
• 使您的系统和网络保持最新：始终更新操作系统、软件和其他应用程序。
• 定期备份数据：要始终牢牢掌握所有重要文件和文档，请保持良好的备份例行程序，将它们复制到不总是连接到PC的外部存储设备。
• 采用网络安全意识强的员工队伍：对员工进行恶意软件、威胁向量和安全措施方面的教育在任何组织中都起着重要作用。