不久前,360数字安全集团发布了关于新型勒索软件FreeFix的详细分析报告,并提供了免费的技术解密服务。近期,360监测到FreeFix的传播量依旧居高不下,经深入分析发现,FreeFix的各种传播来源中,竟然还存在着更为隐蔽的供应链攻击。
与常规的勒索软件传播方式不同,FreeFix在这种传播来源中采用“源头带毒”策略,将攻击目标直接锁定在了软件开发这一环节上,通过感染以中文作为程序代码的编程语言——易语言(EPL)生态系统中的“.ec”模块文件,构建出了一条从开发者到终端用户的完整攻击链条,让开发者在不知情的情况下成为了恶意代码的传播者。
此次遭到供应链攻击感染的“.ec”文件是易语言的模块文件,也称为易模块,相当于C语言里面的.LIB文件。用户可以将常用的代码封装起来,以便在开发其他代码时重复引用,或提供给他人使用,有时亦可用作开发大型软件项目中的一部分,在后续软件项目的封装阶段,再将所有这些模块编译成为一个完整程序。
FreeFix传播者会通过开发者论坛、交流群等渠道分享夹带感染模块的“功能模块”或“开源项目”。一旦有开发者加载并最终编译了该项目,这个“带毒模块”就会感染当前的开发者的开发环境,并尝试窃取开发者设备中的源代码。
可能被感染的部分“开源”项目
360安全大模型通过反编译对这些“带毒模块”解析发现,FreeFix植入的恶意代码首先会检测当前程序是否是以管理员权限被执行的,若非管理员权限则会尝试以管理员权限重新启动。成功后,恶意代码会将内置的Free_EXE 勒索软件资源数据释放到C:\FreeStart.exe位置,并将该程序设置为“隐藏+系统”的属性防止被用户发现,最后再进行勒索程序的执行。
同时,360根据测试发现,只要在被感染的环境中使用易语言编写代码时,调用了被植入恶意代码的“.ec”模块,最终编译出来的程序就都会被附加上FreeFix勒索软件功能代码。这也意味着,这些程序都可能是助长FreeFix勒索软件传播的“带毒程序”。
360安全大模型通过分析攻击反编译发现,这些代码增添了检测管理员权限、释放并执行勒索软件等附加功能,这也导致了被添加了勒索功能模块的测试程序在最终编译完成后,软件体积也明显增大。
除了勒索功能外,360还发现部分被“感染”程序还会查找并窃取用户设备上所有的易语言源码文件(.e文件)和模块文件(.ec文件)。
源码窃取木马文件操作记录
木马窃取到上述文件后,会将其全部回传到一个第三方的云存储中。而全部文件被上传后,该云存储还返回了供文件下载的URL等信息。
这种攻击手法不仅规避了常规安全防护机制,还利用了用户对熟悉开发资源的信任。更值得警惕的是,此病毒具备自我复制能力,能够感染开发者机器上的其他模块并窃取源码,进而进一步扩散,软件开发人员——尤其是易语言的开发者应对本次FreeFix的攻击格外提高警惕。
FreeFix勒索软件供应链攻击案例清晰地展示了当前网络威胁的复杂性与隐蔽性,通过感染易语言生态系统的基础模块组件,攻击者成功构建了一个自我持续、难以察觉的攻击链,实现了从开发者到终端用户的链式感染。这种攻击不仅给开发者和软件用户都带来了直接的数据损失,更是动摇了整个软件供应链的信任基础。
作为数字安全的领导者,360数字安全集团多年来一直致力于勒索病毒的防范。基于过去20年积累的安全大数据、实战对抗经验,以及全球顶级安全专家团队等优势能力,360推出基于安全大模型赋能的勒索病毒防护解决方案,能够针对勒索病毒从攻击前、攻击中到攻击后的每一个主要节点进行定向查杀,实现多方位、全流程、体系化、智能化的勒索防护。
让病毒进不来
在终端、流量侧部署360探针产品,通过互联网入口检测阻断等主动防御功能,能够在病毒落地时进行查杀拦截;
让病毒散不开
由360安全大模型支撑,对勒索病毒的异常加密行为和横向渗透攻击行为,进行智能化分析拦截和检测阻断,实现“一点发现,全网阻断”;
让病毒难加密
通过终端安全探针结合云端情报赋能,利用安全大模型的溯源分析能力,能够精准判断勒索病毒身份,并进行反向查杀;同时内置文档备份机制,可无感知备份日常办公文档和敏感业务数据,对备份区文件进行全面保护,不允许第三方程序对备份区进行非授权操作,从而阻断勒索病毒对备份区的加密行为;
加密后易恢复
该方案内置大量360独家文档解密工具及云端解密平台,云端支持1000+类勒索文件解密、本地支持100+类勒索文件解密,能够实现加密后的全方位恢复工作。
目前,360勒索病毒防护解决方案已经实现对该类勒索病毒的全面查杀&解密。同时,针对不同类别的勒索病毒,该方案还根据不同客户体量与需求推出了多元产品及服务套餐,已累计为超万例勒索病毒救援求助提供帮助,建议广大政企机构尽快根据需求进行部署。
此外,随着软件供应链攻击日益增多,防护措施需要从个人、组织到整个生态系统多层面共同发力,才能有效应对FreeFix这类精心设计的供应链攻击,保障软件开发生态的健康与安全。因此,360同时也提出以下防护建议:
对易语言开发者
1.模块完整性校验:使用哈希值校验所有.ec模块,确保与官方发布版本一致。
2.隔离开发环境:将开发环境与日常办公环境隔离,减少交叉感染风险。
3.定期备份源码:重要源码应定期备份至离线存储设备,防止被加密或窃取。
4.使用可信来源:仅从官方或经过验证的可信渠道获取模块和开源代码。
5.加强代码审计:对引入的开源项目进行安全审计,特别关注可疑的网络连接行为。
6.谨慎添加信任:对于安全软件报毒的程序切勿轻易添加信任继续运行。
对软件用户
1.严格软件来源管理:仅从官方渠道下载软件,警惕第三方分发平台。
2.及时更新安全软件:确保杀毒软件及时更新,启用主动防护功能。
3.定期备份数据:重要数据应保持3-2-1备份策略(3份拷贝、2种不同存储介质、1份异地保存)。
4.软件行为监控:使用行为监控工具,对异常行为如批量文件操作进行警示。
对软件生态
1.建立模块验证机制:易语言社区应建立官方模块签名与验证机制。
2.威胁情报共享:加强开发社区间的威胁情报共享,及时通报可疑模块。
3.提高代码透明度:鼓励核心模块开源,提高社区监督能力。
4.安全意识培训:定期为开发者提供供应链安全培训,提高警惕性。
发表评论
您还未登录,请先登录。
登录