Locky勒索继续绕过安全

黑客寻找到厂对受害者的系统Locky勒索使用XOR混淆和颠倒的有效载荷字节由网络安全工具，以逃避检测。据安全公司Proofpoint的调查，使用恶意软件装载机如RockLoader与恶意JavaScript文件的使用成对的允许Locky保持电子邮件传播勒索之间的最大威胁。
在该公司的研究人员最近发现一个Locky经销商着手进一步努力，以使他们的勒索更加难以捉摸和有效的。“这些活动继续表现出威胁的演员转向交付机制，增加模糊和回避的新的层次来绕过安全防御的趋势。在上面的例子中，最初的有效载荷竟是RockLoader恶意软件加载程序，然后试图从一个复杂的指挥和控制（C＆C）建筑安装Locky，“研究人员的Proofpoint在博客中说。
XOR混淆掩盖恶意勒索的东西，使得看起来就像是原始的二进制代码的部分代码。

“上周，虽然，我们观察到一架Locky演员（会员ID 1）开始使用XOR混淆和颠倒的有效载荷字节由网络安全工具，以逃避检测，”研究人员说。这项技术已被证明是快速和有效的，这使得它的威胁行为者的热门选择。
“虽然这种类型的模糊处理的可有效对抗那些主要扫描进入网络可执行网络安全产品是特别有效的，它们也可用于沙箱逃避”，他们说。
研究人员建议用户具有安全的层状形式以抵消Locky的技术，特别是因为它是比以往要检测更难。