Sophos发现AvosLocker勒索软件在安全模式下发动攻击

Sophos发布对AvosLocker勒索软件的最新研究《即使在安全模式下 AvosLocker 仍可线上操作电脑》。Sophos的研究解释了攻击者如何结合使用Windows安全模式和AnyDesk线上管理工具来绕过安全控制。Windows安全模式是一种IT支持方法，会停用大多数安全和IT管理工具以排除IT问题，AnyDesk则可提供持续的线上存取能力。

根据Sophos报告，AvosLocker是一种较新的勒索软件即服务，首次出现于2021年6月下旬，并且愈来愈受欢迎。Sophos Rapid Response团队迄今为止已经在美洲、中东和亚太地区看到了针对Windows和Linux系统的AvosLocker攻击。

Sophos事件回应主管Peter Mackenzie表示，Sophos发现AvosLocker攻击者会安装AnyDesk以便在安全模式下取得控制权，试图停用安全模式下执行的安全元件，然后执行勒索软件。如此一来，攻击者可以从线上完全控制被安装AnyDesk的每台电脑，而遭锁定的组织却可能无法操作它们。过去Sophos从未见过上述元件与勒索软件一起使用，当然也不会一起使用。

调查的Sophos研究人员发现，攻击起点是攻击者使用软件部署工具PDQ Deploy在被锁定的电脑上执行 love.bat、update.bat或lock.bat批次档。该指令码会发出并执行一系列连续命令，使电脑为勒索软件发布做好准备，然后重新启动进入安全模式。

执行整个命令串大约需要五秒钟，包括以下动作：停用 Windows更新服务和Windows Defender、试图停用可在安全模式下运作的商业安全软件元件、安装合法线上管理工具AnyDesk，并设定其可在安全模式下连线到网络，以确保攻击者能继续进行命令和控制、使用自动登入信息新增一个帐户，然后连线到被锁定电脑的网域控制站以从线上存取和执行勒索软件可执行档update.exe。

Mackenzie补充，AvosLocker使用的技术很简单，但非常聪明。它让勒索软件有机会在安全模式下执行，并允许攻击者在整个攻击过程中从线上操作电脑。Sophos过去就发现Snatch和BlackMatter会使用这个做法，但是它们均未安装后续的应用程序如AnyDesk来在安全模式下命令和控制电脑，这是第一次看到这种情况。