[iThome文章分享] 勒索软体AvosLocker在安全模式下利用AnyDesk展开攻击

Sophos指出2021年6月才现身的勒索软体AvosLocker于今年底的攻击量大增，并揭露其攻击手法是透过系统的安全模式（Safe Mode），在关闭防毒软体的情况下，利用远端桌面管理程式AnyDesk部署勒索软体。

安全模式为作业系统的一种特殊诊断模式，主要用来替系统除错，因此，在进入安全模式之际，系统会关闭绝大多数的第三方驱动程式与软体，包括防毒软体在内。由于它让系统失去了防毒软体的保护，有利勒索软体的部署，因此，不只是AvosLocker，采用安全模式来部署勒索软体的前辈还包括 Snatch、REvil与BlackMatter。

而AvosLocker的特别之处在于，骇客还变更了安全模式的启动配置，以于该模式中安装及使用远端桌面管理程式AnyDesk。

此外，Sophos发现AvosLocker骇客集团的部署彷若IT专家，采用了另一个IT管理工具PDQ Deploy将Windows的批次处理脚本程式传送到目标对象上，这些批次档案在电脑进入安全模式之前就执行，目的为协调攻击的每一个阶段，并替最后一个部署勒索软体的最终阶段奠定了基础。

Sophos提醒，在骇客如此缜密的规画下，各大组织的IT安全团队所面临的将不只是阻止勒索软体，因为就算成功防堵了勒索软体，也应该移除受害系统上的其它骇客足迹，例如AnyDesk，否则骇客将能很轻易地再利用AnyDesk载入各式的恶意程式并重新展开攻击。

迄今AvosLocker攻击的范围已横跨美洲、中东及亚太地区，锁定Windows及Linux作业系统，台湾的技嘉科技也曾在10月沦为AvosLocker的受害者。

原文连结：https://www.ithome.com.tw/news/148579