新版本勒索軟體服務惡意程式Thanos採用RIPlace攻擊技術

• 發布日期：109-06-11
• 發布單位：刑事警察大隊

參考網站：
行政院國家資通安全會報技術服務中心 新版本勒索軟體服務惡意程式Thanos採用RIPlace攻擊技術https://www.nccst.nat.gov.tw/NewsRSSDetail?lang=zh&RSSType=news&seq=16407
新版本勒索軟體服務(Ransomware-as-a-Service, RaaS)惡意程式Thanos，係首個採用RIPlace技術之勒索軟體，該技術透過Windows作業系統設計漏洞，破壞受駭電腦之原始檔案，並可讓勒索軟體繞過作業系統安全偵測機制。

一般來說，勒索軟體攻擊行為有3個標準步驟，首先係開啟與讀取原始檔案，其次於記憶體中加密檔案，繼而破壞原始檔案。至於破壞原始檔案之方法亦有3種：(1)將加密檔案寫入原始檔案中(2)將加密檔案存入硬碟，利用DeleteFile功能刪除原始檔案(3)將加密檔案存入硬碟，透過Rename功能置換原始檔案。其中，第3種方式係透過Windows作業系統設計漏洞，只需2行程式便能使用該漏洞，資安業者Nyotron於2019年11月揭露此類型新技術，將之命名為RIPlace。

當時尚未有勒索軟體採用該技術，微軟則表示該技術不符合安全服務標準，不應被視為漏洞。然而Nyotron使用RIPlace技術之概念性驗證攻擊程式對多家資安產品進行測試，發現聲稱可偵測勒索軟體之防毒軟體，皆無法偵測透過RIPlace技術所執行之攻擊行為。

另一資安業者Recorded Future則於2020年1月發現，別名Nosophoros之駭客於地下論壇販售首個採用RIPlace技術之新版本勒索軟體即服務惡意程式Thanos。駭客將Thanos定位為勒索軟體產生器，具備43種配置選項，同時提供精簡版與企業版，兩者差別在於企業版擁有完整功能，如RootKit、RIPlace及在目標組織中橫向移動(Lateral Movement)等功能。