LockerGoga 勒贖軟體分析

摘要:

資安廠商 Securonix 發表研究報告,詳細解析造成全球鋁業大廠 Norsk Hydro 與其他企業近四千萬美元損失的勒贖軟體 LockerGoga,其感染途徑與運作流程。

內文:

據 Securonix 的研究報告指出,LockerGoga 為害對象是以企業內的 Windows 電腦  IT 與 OT(Operational Technology)系統為主;近期對挪威海德魯鋁業公司和其他受害企業造成的損失,約在三千五百萬到四千一百萬美金之間。

LockerGoga 的主要感染途徑,據研究指出很可能是透過夾帶惡意巨集的 MS Word 或 RTF 文件檔的釣魚郵件散布。

LockerGoga 內建多個發行商發行的合法數位簽章,因此能夠躲過某些惡意軟體入侵偵測系統;報告也指出某些 LockerGoga 的變體更包含了 taskkill 指令,能夠直接停止各種防毒防駭軟體的運作。


也有部分變體版本能夠刪除 Windows 內的事件記錄檔案。

LockerGoga 也像其他惡意軟體一樣,能透過 SMB 在內部網路中尋找對象 Windows 電腦進行感染;甚至還能透過 Active Directory 在內部網路中大量散布。

一旦 Windows 電腦感染 LockerGoga 後,檔案系統內的

doc、.dot、.docx、.docb、.dotx、

.wkb、.xlm、.xml、.xls、.xlsx、.xlt、.xltx、.xlsb、.xlw、

.ppt、.pps、.pot、.ppsx、.pptx、.posx、.potx、

.sldx、.pdf、.db、.sql、.cs、.ts、.js、py

等檔案,便會用勒贖軟體內建的 RSA-1024 公鑰來將檔案加密用的 AES-256 私鑰進行加密。遭加密的檔案其附檔名會被改為 .locked。

其餘的詳細流程可直接參考 Securonix 的研究報告。

參考連結:

  1. https://www.securonix.com/securonix-threat-research-detecting-lockergoga-targeted-it-ot-cyber-sabotage-ransomware-attacks/

發表留言