安全厂商发布LockBit勒索软件技术分析(2020.10.30)

国外研究人员对最近发现的LockBit勒索软件攻击活动进行了分析。在一个案例中，攻击始于受感染的互联网信息服务（IIS），该服务启动了远程PowerShell脚本，该脚本调用了嵌入在远程谷歌表格单元格中的另一个脚本。该脚本连接到C2服务器，检索和安装PowerShell模块以添加后门并建立持久性。为了逃避检测，攻击者将PowerShell副本和mshta.exe重命名，研究人员将这种攻击方式称为“PSRename”。后门负责安装攻击模块，并执行VBScript，该VBScript在系统重新启动时下载并执行第二个后门。完整报告可在news.sophos.com下载。

国家计算机病毒应急处理中心建议广大计算机用户加强安全防范意识，做好日常备份（最好是异地备份），不要访问包含未知风险的网站或打开不明来历的电子邮件附件，保持开启杀毒软件实时监控功能，并持续关注我中心网站上关于勒索软件的有关资讯。

以上资讯由北京安天公司提供，国家计算机病毒应急处理中心研发部编译整理