Seqrite 的最新研究解釋了「雙重用途困境」：勒索軟體攻擊者將 IOBit Unlocker 和 Process Hacker 等合法 IT 工具重新用於攻擊目的。了解這些受信任的實用程式如何被用於繞過防毒保護，並在網路攻擊期間實現對系統的高階控制。

Quick Heal Technologies 的企業部門 Seqrite 的網路安全研究人員表示，攻擊者已經改變了他們的操作方式，使勒索軟體不僅僅是惡意軟體。與以往不同，他們越來越多地使用常見的IT工具來取得系統存取權限。 Seqrite稱之為“雙重用途困境”，即原本用於故障排除和修復系統的軟體卻被用來繞過防禦措施。

將幫助轉化為傷害

駭客越來越多地使用底層工具，即能夠深度存取作業系統系統的實用程式。例如，Process Hacker或IOBit Unlocker等程式最初是為幫助技術人員排查系統故障或刪除頑固檔案而設計的。

然而，調查顯示，攻擊者現在利用這些工具悄無聲息地清除防毒軟體。這些工具已經在實際攻擊中被發現；例如，IOBit Unlocker 曾被用於LockBit Black 3.0和Dharma攻擊活動中，而 Process Hacker 則是Phobos和Makop攻擊者的常用工具。

值得注意的是，這些工具通常都經過“數位簽名”，這意味著您的電腦將其視為安全軟體，這也使得駭客能夠隱蔽地進行攻擊。正如Seqrite在其部落格文章中所述，“如今的攻擊者更像是心懷不軌的滲透測試人員”，他們利用這些可信工具創建一個靜默區域，以便在不觸發任何警報的情況下進行攻擊。

逐步接管

眾所周知，勒索軟體攻擊遵循特定的路徑，稱為“攻擊鏈”，這次攻擊也不例外。它通常始於簡單的網路釣魚郵件或竊取的憑證，在站穩腳跟後，駭客會使用 PowerRun 或 YDArk 等工具來取得系統級或核心級控制權限。這些權限是電腦所能提供的最高權限，位於作業系統的核心。

研究人員發現，這種攻擊通常分兩個階段進行。首先，攻擊者使用諸如 ProcessKO 或 0th3r_av5.exe（常見於 MedusaLocker 攻擊）之類的「進程殺手」來關閉防毒監控。研究人員認為，這可以確保「勒索軟體能夠不被偵測到地運作」。

一旦防毒軟體失效，攻擊者便進入第二階段，使用諸如INC 勒索軟體近期使用的Mimikatz等工具竊取密碼，並使用 Unlock_IT 清除日誌。這會消除取證證據，使攻擊更難追蹤。

威脅的未來

這些攻擊的演變令人擔憂。早期的勒索軟體依賴簡單的命令，而現代版本則使用被稱為「勒索軟體即服務」（RaaS）的自動化工具包，例如 LockBit 3.0 或BlackCat。這些工具包現在預先安裝了能夠清除防毒軟體的功能。展望未來，研究人員預計會出現更多人工智慧輔助方法，軟體會自動選擇最佳方式來停用您的安全措施，這表明我們用來管理設備的工具本身已經成為數位入侵者的完美偽裝。

資料來源：https://hackread.com/ransomware-groups-exploit-it-tools-bypass-antivirus/