勒索軟體Lyrix用Windows內建API對電腦發動攻擊，回避偵測、防止研究人員分析

新的威脅～～
駭客從試圖對抗研究人員的虛擬機器和沙箱，以及隱匿行蹤與迴避資安系統偵測的手段，基本上幾乎都是透過Windows內建的API來達到目的。
最常見的手法，就是自行攜帶存在已知弱點的驅動程式（BYOVD），藉此停止EDR端點代理程式的運作。

研究的過程雖然很辛苦，但成果一定會很棒的汪 (๑˃̵ᴗ˂̵)و

乾

此勒索軟體的另外一個特性，則是本身是以程式語言Python開發而成，而且是透過PyInstaller打造，而能直接整合運作過程所需的程式庫元件，並打包成單一的可執行檔。因此，該檔案執行的過程，完全不需倚賴受害電腦事先部署特定的元件，使得攻擊流程更加順暢。

為了避免受害組織透過備份復原資料，Lyrix也同樣鎖定備份系統、磁區陰影複製服務（VSS），以及系統還原的備份檔案而來，將這些檔案刪除。此外，駭客還會停用Windows內建的系統修復環境（WinRE）功能。

走win api 才能夠躲防護XD

Timshan@國昌不落地 : 𝒯𝓎𝓅𝑒-𝓔𝓲𝓰𝓱𝓽 : XD