新型 “无文件” 勒索软件 Sorebrect 可远程注入恶意代码进行文件加密

据外媒 6 月 16 日报道，安全研究人员近期发现一款新型 “无文件” 勒索软件 Sorebrect，允许黑客将恶意代码隐身注入目标系统中的合法进程（svchost.exe）并终止其二进制代码以规避安全机制检测，还能通过使用 wevtutil 删除受影响系统的事件日志阻碍取证分析。

勒索软件 Sorebrect 可利用 Tor 网络匿名连接至命令与控制（C＆C）服务器中。与其他勒索软件不同的是，Sorebrect 专门针对各行（制造、技术与电信）企业系统注入恶意代码，以便在本地系统和共享网络中加密文件。

研究人员注意到，勒索软件 Sorebrect 首先通过暴力攻击等手段入侵管理员账户，然后利用 PsExec 命令控制系统实现文件加密处理。“虽然攻击者可以使用远程桌面协议（RDP）和 PsExec 在受影响的机器中安装 Sorebrect 恶意软件，但与使用 RDP 相比，利用 PsExec 更为简单”。趋势科技表示，PsExec 可使攻击者能够执行远程命令，而非使用交互登录会话或将恶意软件手动传输至远程机器设备。

调查显示，研究人员首次在中东国家 Kuwait 与 Lebanon 地区发现该勒索软件迹象。随后，他们于近期观察到加拿大、中国、俄罗斯与美国等国家系统也纷纷遭受勒索软件 Sorebrect 攻击。趋势科技安全专家建议用户限制 PsExec 权限、主动备份文件，实时更新系统与网络安全机制以防止黑客攻击。

原作者：Pierluigi Paganini，译者：青楚，译审：FOX
本文由 HackerNews.cc 翻译整理，封面来源于网络。
转载请注明“转自 HackerNews.cc ” 并附上原文链接。