Sophos發現AvosLocker勒索軟體在安全模式下發動攻擊

Sophos發布對AvosLocker勒索軟體的最新研究《即使在安全模式下 AvosLocker 仍可遠端操作電腦》。Sophos的研究解釋了攻擊者如何結合使用Windows安全模式和AnyDesk遠端管理工具來繞過安全控制。Windows安全模式是一種IT支援方法，會停用大多數安全和IT管理工具以排除IT問題，AnyDesk則可提供持續的遠端存取能力。

根據Sophos報告，AvosLocker是一種較新的勒索軟體即服務，首次出現於2021年6月下旬，並且愈來愈受歡迎。Sophos Rapid Response團隊迄今為止已經在美洲、中東和亞太地區看到了針對Windows和Linux系統的AvosLocker攻擊。

Sophos事件回應主管Peter Mackenzie表示，Sophos發現AvosLocker攻擊者會安裝AnyDesk以便在安全模式下取得控制權，試圖停用安全模式下執行的安全元件，然後執行勒索軟體。如此一來，攻擊者可以從遠端完全控制被安裝AnyDesk的每台電腦，而遭鎖定的組織卻可能無法操作它們。過去Sophos從未見過上述元件與勒索軟體一起使用，當然也不會一起使用。

調查的Sophos研究人員發現，攻擊起點是攻擊者使用軟體部署工具PDQ Deploy在被鎖定的電腦上執行 love.bat、update.bat或lock.bat批次檔。該指令碼會發出並執行一系列連續命令，使電腦為勒索軟體發布做好準備，然後重新啟動進入安全模式。

執行整個命令串大約需要五秒鐘，包括以下動作：停用 Windows更新服務和Windows Defender、試圖停用可在安全模式下運作的商業安全軟體元件、安裝合法遠端管理工具AnyDesk，並設定其可在安全模式下連線到網路，以確保攻擊者能繼續進行命令和控制、使用自動登入資訊新增一個帳戶，然後連線到被鎖定電腦的網域控制站以從遠端存取和執行勒索軟體可執行檔update.exe。

Mackenzie補充，AvosLocker使用的技術很簡單，但非常聰明。它讓勒索軟體有機會在安全模式下執行，並允許攻擊者在整個攻擊過程中從遠端操作電腦。Sophos過去就發現Snatch和BlackMatter會使用這個做法，但是它們均未安裝後續的應用程式如AnyDesk來在安全模式下命令和控制電腦，這是第一次看到這種情況。