新聞來源：https://www.ithome.com.tw/news/158281
新聞名稱：勒索軟體Knight隱身於偽造的Tripadvisor投訴釣魚信件

基礎知識

勒索軟體（Ransomware）

• 惡意軟體

  • 加密受害者的文件

• 要求付贖金

勒索軟體即服務

• 以服務的形式銷售

• 當買家利用該工具發動攻擊並成功收取贖金

• 工具賣家將獲得贖金抽成

• 舉例

  • Cyclops

Go 語言

• Google 設計的開源程式設計語言

Cyclops

• 改名

  • Knight

• 程式

  • Go 語言

• 特色

  • 跨 Windows、Linux、macOS 作業系統發動攻擊

• 雙重勒索

  • 加密受害者系統檔案之前

  • 會偷偷先以竊資軟體將特定類型資料回傳伺服器

  • 竊資軟體

    • 偷取使用者的資料的軟體

社交工程攻擊（Social Engineering Attack）

• 通過心理操縱來誘使個人或員工透露敏感資訊

• 進行特定的行為，如點擊一個惡意連結

事件整理

發現品牌更新

• 時間

  • 2023 年 06月

• 發現

  • Cyclops 重新改名成 Knight

• 推出

  • 資料洩漏網站

  • 適合批次發布的 Knight Lite 精簡版

發現與分析

• 發現

  • Sophos 研究員 Felix Weyne

• 分析

  • 《Bleeping Computer》

• 手法

  • 釣魚電子郵件包含了 HTML 附件

  • 誘使受害者點擊並下載勒索軟體

• 受害

  • 尚未有受害者的資料被公布在資料洩漏網站

靜態分析

• 分析

  • Sophos 研究員 Felix Weyne

• 手法

  • 勒索軟體注入到由 VMWare 簽署的 7-zip 二進位檔案

  • 包裝在名為 TripAdvisor Complaint 的壓縮檔中

  • 透過社交工程攻擊

  • 試圖誘騙用戶點擊假冒為 TripAdvisor 投訴文件

  • 實際上卻是包含勒索軟體的惡意網頁

BitB 攻擊技術

• Browser-in-the-Browser

• 瀏覽器中嵌入一個偽造的 TripAdvisor 登入頁面

• 假瀏覽器視窗佯裝成由餐廳提交的投訴文件

• 要求用戶查看，一旦用戶點擊閱讀投訴的按鈕

• 系統便會下載惡意Excel擴充檔案類型XLL檔案

執行惡意程式

• 打開 XLL 檔案

  • 執行惡意軟體

• 擴充套件項目啟動

  • 勒索軟體加密器被注入到 explorer.exe

• 開始加密電腦上的檔案

  • 將 .knight_l 增加到加密檔案的文件名稱

• How To Restore Your Files.txt 的檔案

  • 支付 5,000 美元的比特幣

• 救回

  • 每個勒索信文件檔都使用同一個加密錢包

  • 可能不知道哪些受害者已經支付贖金

  • 即便受害者支付贖金，也可能無法收到解密器

小試身手

Cyclops勒索軟體後來被重新命名為什麼名字

• A. Uptycs

• B. Knight

• C. Felix Weyne

• D. Bleeping Computer

• 答案

  • B

Knight 勒索軟體使用什麼語言進行開發？

• A. Python

• B. C++

• C. Go語言

• D. Java

• 答案

  • C

BitB （Browser-in-the-Browser）是什麼

• A. 一種可以追蹤使用者在瀏覽器中的所有活動的軟體

• B. 一種在使用者的瀏覽器中創建一個偽造或模擬的瀏覽器視窗來顯示攻擊者控制的內容的技術

• C. 一個可以幫助使用者更安全瀏覽的瀏覽器插件

• D. 一種可以防止使用者訪問具有惡意軟體的網站的瀏覽器安全設定

• 答案

  • B

受害者需支付多少贖金來恢復他們的文件？

• A. 1000美元

• B. 3000美元

• C. 5000美元

• D. 7000美元

• 答案

  • C

為什麼即使受害者支付了贖金，也不能保證他們能夠得到解密工具？

• A. 因為所有受害者都被要求支付到同一個比特幣錢包

• B. 因為勒索軟體有缺陷

• C. 因為受害者沒有正確地遵循指示

• D. 因為駭客不願意提供解密工具

• 答案

  • A