儘管惡意軟件開發者擅長利用各種軟硬件漏洞來達成目的,但他們散播的成品也並非毫無破綻。比如近日,安全研究人員 John Page(又名 hyp3rlinx)就介紹了一招反制勒索軟件的新套路。由個人網站和 Twitter 賬號上發布的內容可知,John Page 專精於找到惡意軟件本身的漏洞,並於近日分享了阻止勒索軟件加密受害者文件的方法。
視頻截圖(來自:malvuln / YouTube)
據悉,許多勒索軟件都會被 DLL 劫持所影響。通常攻擊者會利用這種動態鏈接庫來誘騙程序加載,以運行他們預期中的惡意代碼。
但轉念一想,你也大可合理利用該技術來“反劫持”並阻止某些類型的勒索軟件。
Ransom WannaCry – Code Execution Vulnerability(via)
John Page 在網站上分享了針對 REvil、Wannacry、Conti 等最新版惡意軟件的漏洞和自定義 DLL 的詳情。
可知要順利解套,DLL 需在攻擊者可能放置惡意軟件的潛在目錄中守株待兔。
截圖(來自:Malvuln 網站)
John Page 還建議採用分層策略,比如將之放在包含重要數據的網絡共享上。
由於動態鏈接庫不會在勒索軟件訪問它們之前被調用,因而此舉可無視繞過反病毒軟件防護的勒索軟件活動。
遺憾的是,DLL 反劫持套路只適用於微軟 Windows 操作系統,而無法輕鬆照搬到 Mac、Linux 或 Android 平台上。
此外它只能嘗試避免被勒索軟件加密文件,而不能阻止被攻擊者訪問系統和泄露數據。