Lazarus实验新的勒索软件

Lazarus黑客团伙一直很擅长使用APT高级可持续威胁攻击来进行金融犯罪。我们的安全专家最近检测到了一种从未被发现过的VHD恶意软件，似乎是Lazarus团伙在进行相关实验。

从功能性角度来说，VHD是一种十分标准的勒索软件工具。它通过各种渠道偷偷潜入受害者的计算机，然后对文件进行加密并删除所有系统卷标信息文件夹（因此破坏Windows上的系统恢复）。除此之外，它还可以挂起那些保护重要文件不被修改的进程，比如微软的Exchange或者SQL Server。

不过真正有意思的是VHD登陆目标计算机的方式，因为它的感染机制和高级持续威胁攻击有很多共同点。我们的安全专家最近研究了一些VHD案例，并分析了其中攻击者每次的行为。

在受害者的网络中横向移动

在第一起安全事件中，一段恶意代码吸引了我们安全专家的注意，它负责在目标网络上传播VHD。我们发现该勒索软件拥有受害者计算机的IP地址列表以及管理员用户的密码信息，并利用这些信息对SMB服务进行暴力破解攻击。如果恶意软件通过SMB协议成功连接了另一台计算机的网络文件夹，它会复制自己并将那台机器也加密。

该行为并不像来自于主流的勒索软件，它说明攻击者至少对受害者的基础设施提前进行了信息侦查，而这更符合APT活动的特征。

感染链

当我们的全球紧急响应团队在一次调查中再次遇到这个勒索软件时，研究人员成功追踪了整个感染链。在他们的报告中，网络不发分子的行动如下：

1. 通过入侵存在安全隐患的VPN网关来获取受害者系统的访问权限；
2. 获得被入侵计算机上的管理员权限；
3. 安装后门程序；
4. 夺得活动目录服务器的控制权；
5. 通过专门编写的装载程序让该网络中的所有计算机感染上VHD勒索软件。

我们通过对攻击工具进一步分析得知该后门程序是跨平台框架MATA的一部分，我们之前对其总结过，这是Lazarus的另一个工具。

在我们的Securelist博客中，你可以找到有关这些工具的具体技术分析，以及计算机被其入侵时的迹象。

如何保护你的公司

VHD勒索软件攻击者在用加密器感染企业计算机方面明显处于行业领先地位，该恶意软件并没有广泛出现在黑客论坛中，而是为了针对性攻击而专门开发的。其渗透受害者基础架构和在网络上传播时使用的技术让人想到了先进的APT攻击。网络金融犯罪工具和APT攻击的界线逐渐模糊，这说明即便是小型公司也需要使用高级的安全防护技术。我们最近推出了同时具备端点保护平台（EPP）和端点检测响应（EDR）功能的集成解决方案， 你可以在产品页面找到更多相关信息。