主流勒索软件的“特效疫苗”:安装俄文键盘

发布于 2017-04-20 14:58:43



美国输油管道公司Colonial Pipeline被勒索软件DarkSide攻击导致运营中断后,美国政府和私营部门对俄罗斯背景的勒索软件组织已经风声鹤唳,闻风丧胆。虽然拜登的总统行政命令颁布了六大举措,包括强推零信任架构来保护基础设施和供应链安全,但远水不解近渴,当下关键基础设施如何有效防御勒索软件攻击依然是一道无解难题,甚至提供赎金保险服务的保险巨头安盛公司也因为拒绝承保勒索赎金而遭到勒索软件攻击。


随着输油管道事件调查的深入,网络安全专家们发现DarkSide与REvil有着密切关系,同属于俄罗斯庇护的勒索软件组织。REvil以前被称为GandCrab,而GandCrab与REvil的许多共同点之一是,这两个程序都禁止分支机构感染叙利亚的受害者。


参考阅读:破坏美国输油管道的勒索软件组织DarkSide与REvil有染


与REvil等许多其他恶意软件一样,DarkSide带有硬编码的请勿安装国家“白名单”,这些国家都是前苏联独联体国家(下图),与克里姆林宫的关系一直很好。




以下是DarkSide(由Cybereason发布)中的完整排除列表:



数据来源:Cyberreason


简而言之,大量恶意软件都会在发动攻击前先检查目标系统上是否存在上述(独联体国家以及叙利亚)语言中的一种,如果检测到它们,则恶意软件将退出并无法安装。


由于俄罗斯独特的法律文化(对非本国境内的公司或个人的起诉不予立案调查),该国的犯罪黑客利用语言检查来确保它们仅攻击该国境外的受害者(非独联体国家)。


总部位于纽约的网络调查公司Unit221B的首席研究员艾里森·尼克松(Allison Nixon)表示:


这是勒索软件组织为了获得法律庇护的自保措施。

(非独联体国家的用户)如果在系统中安装西里尔字母(俄语)虚拟键盘,或将特定的注册表项更改为“RU”等,可能足以使恶意软件误判您是俄语实体而免遭攻击。从技术上讲,这种方法可以用作针对俄罗斯恶意软件的“疫苗”。


在系统中安装俄语键盘是否就能防范所有恶意软件呢?显然不是,很多恶意软件并不关心您所处的国家。对于任何组织来说,深度防御依然是必不可少的措施。


但是针对眼下猖獗的俄罗斯勒索软件组织,在系统中安装俄语键盘短期来看绝对是有效的“怪招”,当然,如果大量用户都采用此方法,俄罗斯勒索软件组织也许将会冒着失去法律庇护的风险改变语言检查筛选机制。


Unit221B的创始人Lance James指出,在Windows注册表中将系统标注为虚拟机的方法对于很多勒索软件来说已经失效(过去很多勒索软件为了绕过安全软件,在检测到虚拟机环境会自动退出安装)。但安装俄语虚拟键盘目前来说依然是个惠而不费、立竿见影的方法。


James还专门制作了一个俄语键盘“一键安装”的Windows批处理脚本(链接在文末),该脚本在勒索软件攻击前检查的Windows注册表项中增加了俄语选项。当然,用户也可以传统方式在桌面添加键盘语言(同时按下Windows键和X,然后选择“设置”,然后选择“时间和语言”。)




参考资料:

https://krebsonsecurity.com/2021/05/try-this-one-weird-trick-russian-hackers-hate/


俄语键盘安装脚本:

https://github.com/Unit221B/Russian


本文转自安全牛



2 条评论