2020年第20期网络病毒监测

国家计算机病毒应急处理中心通过对互联网的监测，发现一次勒索软件攻击事件，受害主机感染了Maze勒索软件新变种，特别的是，该勒索软件采用了虚拟机植入技术，即将包含勒索软件的虚拟机镜像加载到受害主机中，然后进行传播感染，从而逃避安全检测。这种技术曾经被名为“Ragnar Locker”的另一个勒索软件在2020年初的攻击中采用过。 在本次攻击事件中，攻击者一开始采用了传统的勒索软件攻击方式，进入受害主机后，使用脚本程序关闭安全监测程序，分发勒索软件，创建计划任务并执行勒索软件。但勒索软件的运行被受害者主机上运行的Intercept X勒索软件防护系统拦截。攻击者随后转向新的攻击方式，即将包含勒索软件和根据目标网络定制的配置信息的虚拟机磁盘镜像文件（VirtualBox格式，扩展名为.vdi）和虚拟机程序一起打包成Windows安装文件（扩展名为.msi），文件大小超过700MB，安装后在攻击者使用CMD命令行脚本在系统后台启动虚拟机程序，加载虚拟机磁盘，启动虚拟机系统，并运行勒索软件。与Ragnar Locker勒索软件不同的是，Maze勒索软件攻击者在虚拟机中采用了Windows 7操作系统。进一步调查显示，攻击者早在发动攻击前3天就对目标网络进行了侦查，并在渗透进入目标网络后6天部署分发了上述勒索软件，攻击者攻陷了目标网络的域控制服务器，并获得了目标网络中主机的IP地址列表，并且将窃取的数据上传到了Mega.nz公共云存储服务。攻击成功后，攻击者向受害者索取1500万美元的勒索金，但目前受害者没有支付赎金。 综上，虽然采用虚拟机植入技术对受害主机的资源消耗较大，但随着主机硬件配置的普遍提高，这种资源消耗逐渐变得可以被攻击者接受，而且确实能够起到较好的逃避检测效果，用户也较难防范。可以预见未来会有更多恶意软件采用类似攻击方式。这种新的恶意软件传播攻击技术趋势应引起网络安全行业的关注，尽快研发针对性的解决方案。