香港aa三级久久三级,色94色欧美sute亚洲线路二,色偷偷亚洲天堂av,玩弄japan白嫩少妇hd小说,午夜福利在线观看午夜电影街bt

中文版 Global
首頁 > 安全資訊 > 正文

勒索軟件“致盲”安全軟件_360強力守護不受影響

  • 2025-05-13 18:43:48

再度活躍竟因手握最新攻擊利器

近期,360安全智腦監(jiān)測到Babuk勒索家族活動數(shù)據(jù)異常。進一步分析數(shù)據(jù)發(fā)現(xiàn),本次活躍度提升的主要原因是:Babuk勒索家族的最新變種攜帶了新的攻擊利器導致。

從歷史記錄來看,該家族曾在早年間因源碼泄露導致其變種泛濫,最終也成為變種最為豐富的勒索家族之一。目前已監(jiān)控到的其攻擊方式,涵蓋了幾乎所有的勒索攻擊常見手法,而其可感染的系統(tǒng)也覆蓋了從Windows、Linux到VMware ESXi等多種常見平臺,是一款活躍度常年居高不下的勒索軟件。

兵出奇招,憑空創(chuàng)造自??沾?/span>

本次事件的起因,是Babuk的最新變種在近期又增加了新的攻擊手段。該勒索軟件在安全軟件更新升級的防護空檔期發(fā)起“偷襲”。常規(guī)的安全軟件通常都具備較為嚴密的自我保護機制,能夠避免被木馬病毒輕易關閉。因此,Babuk勒索的最新變種有意利用了安全軟件更新升級的防護薄弱期,在其準備進行攻擊時,會嘗試啟動安全軟件的升級流程。一旦成功,安全軟件很可能在升級安裝時臨時關閉自我防護,從而出現(xiàn)一個短暫的“自??沾捌凇保鳥abuk勒索軟件此時便會抓住這個空窗期來結(jié)束安全軟件進程。

根據(jù)對360云端大數(shù)據(jù)的匯總分析,此類攻擊較為典型的攻擊流程圖如下:

圖1. Babuk勒索最新攻擊手段攻擊流程示意圖?

360強力守護不受影響

面對這種另辟蹊徑的新型攻擊手段,360終端安全產(chǎn)品在設計之初便考慮到此類問題——攻擊者遠程卸載、遠程更新、強制刪除等對抗手法,均無法對360終端安全產(chǎn)品構成實質(zhì)性威脅。同時,360安全產(chǎn)品可以對Babuk勒索最新變種的這一波攻勢,直接進行有效攔截。

圖2. 360安全大腦攔截Babuk勒索軟件最新變種?

實際上,與Babuk本輪攻擊類似的手法在國內(nèi)并不罕見,360安全終端每天都能偵測到并攔截大量針對安全軟件的攻擊。

尤其是“卸載攻擊”——黑客通常會在獲取到一臺設備的權限后,首先嘗試卸載360安全產(chǎn)品,以清理這塊最大的“絆腳石”。而當黑客發(fā)現(xiàn)無法卸載安全軟件時,又會再次嘗試結(jié)束安全軟件的進程。

圖3. 360安全大腦阻止黑客的卸載操作?

由于360安全終端的自我保護能力必須擁有系統(tǒng)最高權限的驅(qū)動才能關閉,利用高權限工具驅(qū)動的攻擊方式應運而生?;鸾q劍、PCHunter等具有高權限的安全工具驅(qū)動都被這種方式利用過。此外,多家殺毒軟件的驅(qū)動程序也曾被利用過,我們已發(fā)現(xiàn)十余家頗具規(guī)模的國內(nèi)外主流安全廠商的驅(qū)動曾被此類攻擊利用。此外,通過全面排查分析,360還發(fā)現(xiàn)了數(shù)十家規(guī)模不等的安全廠商的驅(qū)動程序存在被利用的安全隱患……

而當發(fā)現(xiàn)既無法卸載,又無法結(jié)束安全軟件的情況下,攻擊者還會嘗試通過模擬鼠標點擊的方式來關閉安全軟件。對于此類模擬點擊的攻擊手段,我們也具備對應的防護功能,避免終端產(chǎn)品被關閉。

圖4. 360安全大腦攔截模擬鼠標點擊操作?

Babuk家族簡介

Babuk又被稱作Babyk或Babuk Locker。該勒索軟件最早出現(xiàn)于2021年1月初,是一款采用RaaS模式的雙重勒索軟件——其不僅會加密受害者的文件,還會在實施加密前,竊取受害者系統(tǒng)中的重要數(shù)據(jù),作為威脅受害者支付贖金的重要籌碼。

該家族在2021年5月最為活躍,參與了至少42起攻擊事件。但隨后因其組織內(nèi)部在竊取到的華盛頓警方數(shù)據(jù)處理問題上出現(xiàn)分歧,導致該團伙一步步走向分裂,同時該家族的加密程序生成器也被公開。不過,就在同月,Babuk便在其數(shù)據(jù)泄露網(wǎng)站上宣布,將不再依賴加密受害者文件的運營模式,而是會重建暗網(wǎng)數(shù)據(jù)泄露網(wǎng)站,只進行竊取數(shù)據(jù)攻擊。

而在2021年9月7日,一個自稱是Babuk開發(fā)人員的黑客在暗網(wǎng)論壇上公布了Babuk勒索軟件源碼。在此之后的Babuk多個衍生家族,以及2025年初聲稱再度回歸的Babuk2.0,都是基于該公開源碼進行修改的變種版本。

圖5. Babuk泄露的源碼?

Babuk通常會關閉受害者系統(tǒng)中的安全和備份服務后再進行加密,同時竊取數(shù)據(jù)用于“雙重勒索”策略。其傳播方式通常包括釣魚郵件、弱口令暴力開放的RDP端口以及利用各類軟件漏洞。Babuk傾向選擇支付能力強的目標,一旦入侵,會全面破壞數(shù)據(jù)與系統(tǒng),通常還會刪除備份,以迫使受害者交付贖金。2025年后的變種版本則融入了區(qū)別于傳統(tǒng)傳播手段的網(wǎng)絡詐騙方案。

Babuk家族在國內(nèi)一直有傳播,廣東省是該家族的主要傳播區(qū)域,北京、上海等經(jīng)濟發(fā)達城市也偶有傳播。

360安全衛(wèi)士

熱點排行

用戶
反饋 返回
頂部