本周,一家美国公司遭到勒索攻击,随后安全公司 Check Point 的研究人员在对这一安全事件进行复盘时发现,这是一种前所未见且具有“技术独特功能”的新型勒索软件,将其命名为 Rorschach(罗夏)。
Rorschach在电影《守望者》是一个带着面具的警员,他性格善恶分明、性格偏执,还有一些暴力倾向。有人认为他是蒙上脸后行侠仗义,当然也有人认为他是在胡作非为。而 Check Point 的研究人员将这一勒索软件命名为Rorschach似乎也跟这一电影角色有所映射。
根据Check Point技术人员的研究,Rorschach首先是入侵了知名网络安全公司 Palo Alto Networks 旗下的Cortex XDR产品,通过Cortex XDR 中的签名组件使用 DLL 侧载技术部署到受害者计算机中。入侵安全公司的安全软件产品,随后在其中植入勒索软件,这一骚操作堪称是是针尖上跳舞。
其次,不同于许多勒索软件感染企业系统时需要手动执行如创建域名群组政策等操作,但Rorschach却可将这些工作自动化,进而通过域名控制器自动传播,在入侵一台机器后,该恶意软件还会擦除四个事件日志以清除其踪迹。过去只有LockBit 2.0有这等能力。此外,Rorschach使用直接的系统调用躲避防护机制,这就是首次在勒索软件见到的能力。它还使用特殊封装方法以防止安全人员分析。
另一项特殊之处在于,Rorschach勒索软件使用极高效率的混合加密法,加密文件的部分内容,而非整个文件。研究人员比较Rorschach及去年最凶狠的勒索软件之一的LockBit v3,显示Lockbit v3平均加密时间为7分钟,而新勒索软件仅需4分钟30秒。成为了史上加密速度最快的勒索软件。
更值得一提的是,在被自动化部署到受害者计算机中后,仅当受害机器配置了独联体以外的语言时,Rorschach 才会开始加密数据,这已经不能说是有点东西了,这全是狠活儿呀。
研究人员评估认为,Rorschach 集结了现有已知勒索软件的所有最佳功能于一体,并以自动化方法自我繁殖,极大的提高了勒索软件攻击能力的水准。
当然从这一事件中我们也可以看到,在勒索攻击平民化、常态化的趋势下,那些技术高超的勒索软件团伙们也没有停下脚步,仍然在迭代着更具破坏性的恶意软件,想更复杂的系统环境发起攻击。
面对不断进化的勒索软件,企业和安全人员们需要意识到,与勒索团伙的对抗是一场持久战,只有苦练内外功夫,方能在这场永无止境的对抗中守住阵地。
接下来我们一起来看另一则行业新闻。
未及时报告网络安全事件 东方财富证券遭点名
本周一我们关注到,中国证监会西藏监管局公布了对东方财富证券采取责令改正措施的决定。
中国证监会西藏监管局表示,东方财富证券在2023年3月21日的网络安全事件中,存在信息系统升级论证测试不充分、未及时报告网络安全事件的问题。违反了《证券期货业信息安全保障管理办法》以及《证券期货业网络安全事件报告与调查处理办法》相关条款规定。
因此,西藏监管局决定对东方财富证券采取责令改正的监督管理措施。同时,责令东方财富证券对此次事件相关责任人员进行内部责任追究。西藏监管局强调,东方财富证券应进一步加强信息系统建设的统筹规划,充分了解系统架构及内部运行机制,强化研发、测试、上线、升级变更及运维管理,完善应急预警、处置、报告机制,确保信息系统安全平稳运行。东方财富应于3个月内完成上述整改工作并向西藏监管局报送整改报告。
此前在3月21日,有网友发现在社交平台上称东方财富证券交易软件“宕机”无法正常登录交易,并出现“网络繁忙,请稍候重试”的提示字样,随后#东方财富#词条登上热搜。11时许,有投资者反映软件已恢复正常,可以登录进行交易。但午后开盘不久,又又网友反馈,东方财富软件再次崩了。对于东方财富APP一日内两度宕机,东方财富证券相关人员回应称,需要与技术部门确认具体原因。
3月24日,证监会在对东方财富证券申请上市证券做市交易业务资格反馈意见中直接发问,称:“近日,关注到媒体报道你公司证券交易软件无法正常登录交易,请说明此次信息安全事件的发生原因、影响以及整改情况,并进一步说明公司是否符合‘最近1年信息系统未发生重大及以上级别信息安全事件’条件。”
据证监会此前发布的《证券期货业网络安全事件报告与调查处理办法》,当集中竞价交易系统以外的实时交易系统出现严重异常,且故障持续时间30分钟以上的属于重大事件;若故障持续时间10分钟以上的属于较大事件。
对于上述情况的应对措施,东方财富表示后续会进一步加强研发技术投入,加大相关技术人员培训,进一步提高技术安全维护队伍的工作能力和水平,有效防范软件、硬件和系统故障等风险。
本期视频就到这里啦,关注安全419,我们下周再见~
京公网安备 11010802033237号
