瑞星EDR人工智能技術(shù)還原“Mimic”勒索軟件攻擊全過程

近日，瑞星威脅情報中心捕獲到一個名為“Mimic”的新型勒索軟件，它不僅利用了合法的Everything搜索工具來提高加密效率，還使用了conti勒索軟件的源代碼，極大保證了加密成功機率。同時，“Mimic”勒索還具有關(guān)閉防火墻、防止用戶關(guān)閉或重啟計算機、清空所有磁盤回收站等諸多惡意功能。

目前，瑞星終端威脅檢測與響應(yīng)系統(tǒng)(EDR)已可對該勒索的攻擊全過程進行溯源和梳理，基于瑞星公司的RGPT人工智能技術(shù)，可讓用戶使用自然語言和可視化圖譜查詢并了解到完整的攻擊鏈。

圖：被“Mimic”勒索軟件攻擊后的勒索信

特點一：利用合法搜索工具提高加密效率

“Mimic”勒索軟件最早被發(fā)現(xiàn)于2022年6月，它有一個顯著的特點，就是利用了合法文件搜索工具Everything的API，來快速搜索想要加密的目標(biāo)文件，這樣可以最大限度地減少資源利用，提高加密的效率。

特點二：修改并使用其他勒索工具

“Mimic”勒索軟件還有一個特點，就是改進并使用了已經(jīng)泄露的Conti勒索軟件源代碼，在其基礎(chǔ)上增加了訪問共享與端口掃描等功能，這樣不僅提高了勒索軟件開發(fā)效率，同時保證了加密的成功幾率和穩(wěn)定性。

特點三：具有多種惡意功能

“Mimic”勒索軟件為了更好地加密文件，還有很多其他惡意操作行為，如：完全隱藏搜索框和圖標(biāo);調(diào)用其他工具關(guān)閉防火墻;為了加快文件搜索速度，防止遺漏關(guān)鍵數(shù)據(jù)而劫持任務(wù)管理器;防止用戶關(guān)閉或重啟計算機;清空所有磁盤的回收站，防止受害者從回收站恢復(fù)文件等等。

瑞星EDR展示攻擊全過程：

瑞星EDR產(chǎn)品已能夠?qū)?ldquo;Mimic”勒索軟件的關(guān)系網(wǎng)進行可視化展示，其強大的威脅調(diào)查功能可以從任意節(jié)點對該勒索進行溯源梳理，并定位關(guān)鍵行為。同時再結(jié)合瑞星EDR中特有的RGPT技術(shù)，以自然語言向用戶詳細(xì)介紹和分析了“Mimic”勒索軟件的整個攻擊流程，全方位還原完整攻擊鏈。

圖：瑞星EDR可視化展示了“Mimic”勒索軟件的攻擊過程

防范建議：

由于勒索軟件帶來的危害較大，因此瑞星安全專家建議：

1. 部署EDR、NDR產(chǎn)品。

利用威脅情報追溯威脅行為軌跡，進行威脅行為分析，定位威脅源和目的，追溯攻擊的手段和路徑，從源頭解決網(wǎng)絡(luò)威脅，最大范圍內(nèi)發(fā)現(xiàn)被攻擊的節(jié)點，以便更快響應(yīng)和處理。

2. 安裝有效的殺毒軟件，攔截查殺惡意文檔和木馬病毒。

殺毒軟件可攔截惡意文檔和木馬病毒，如果用戶不小心下載了惡意文件，殺毒軟件可攔截查殺，阻止病毒運行，保護用戶的終端安全。瑞星旗下產(chǎn)品已可查殺“Mimic”勒索軟件，廣大用戶可安裝使用。

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）