Sophos发布对 AvosLocker 勒索软体的最新研究《即使在安全模式下 AvosLocker 仍可远端操作电脑》。 Sophos 的研究解释了攻击者如何结合使用 Windows 安全模式和 AnyDesk 远端管理工具来绕过安全控制。 Windows 安全模式是一种 IT 支援方法，会停用大多数安全和 IT 管理工具以排除 IT 问题，AnyDesk 则可提供持续的远端存取能力。

根据 Sophos 报告，AvosLocker 是一种较新的勒索软体即服务，首次出现于 2021 年 6 月下旬，并且越来越受欢迎。 Sophos Rapid Response 团队迄今为止已经在美洲、中东和亚太地区看到了针对 Windows 和 Linux 系统的 AvosLocker 攻击。

Sophos 事件回应主管 Peter Mackenzie 表示：「Sophos 发现 AvosLocker 攻击者会安装 AnyDesk 以便在安全模式下取得控制权，试图停用安全模式下执行的安全元件，然后执行勒索软体。如此一来，攻击者可以从远端完全控制被安装 AnyDesk 的每台电脑，而遭锁定的组织却可能无法操作它们。过去 Sophos 从未见过上述元件与勒索软体一起使用，当然也不会一起使用。

「对于遭受此类攻击的 IT 安全团队来说，即使勒索软体无法执行，但在他们清除电脑上攻击者经由 AnyDesk 部署的每一个足迹之前，都还是处于风险之中。攻击者可以随时使用组织网路并再次攻击它们。」

调查的 Sophos 研究人员发现，攻击起点是攻击者使用软体部署工具 PDQ Deploy 在被锁定的电脑上执行 “love.bat”、“update.bat” 或 “lock.bat” 批次档。该指令码会发出并执行一系列连续命令，使电脑为勒索软体发布做好准备，然后重新启动进入安全模式。

执行整个命令串大约需要五秒钟，包括以下动作：

‧停用 Windows 更新服务和 Windows Defender

‧试图停用可在安全模式下运作的商业安全软体元件

‧安装合法远端管理工具 AnyDesk，并设定其可在安全模式下连线到网路，以确保攻击者能继续进行命令和控制

‧使用自动登入资讯新增一个帐户，然后连线到被锁定电脑的网域控制站以从远端存取和执行勒索软体可执行档 update.exe

Mackenzie 补充：「AvosLocker 使用的技术很简单，但非常聪明。它让勒索软体有机会在安全模式下执行，并允许攻击者在整个攻击过程中从远端操作电脑。Sophos 过去就发现 Snatch 和 BlackMatter 会使用这个作法，但是它们均未安装后续的应用程式如 AnyDesk 来在安全模式下命令和控制电脑，这是我们第一次看到这种情况。」

Sophos 端点产品如 Intercept X 可侦测勒索软体和其他攻击如上的操作和行为来保护使用者。