本文來(lái)自安全牛。
在電子郵件作為主要惡意軟件感染媒介的今天,網(wǎng)絡(luò)釣魚(yú)已經(jīng)成為大多數(shù)惡意軟件傳播的首選途徑。但是研究人員發(fā)現(xiàn),非法攻擊者正在不斷尋找新的傳播路徑和感染手段,來(lái)增強(qiáng)惡意軟件的攻擊能力。為了更好地識(shí)別和預(yù)防惡意軟件攻擊,本文收集了近期新發(fā)現(xiàn)的三種惡意軟件,并對(duì)其感染方式和傳播路徑進(jìn)行簡(jiǎn)單介紹。
Black Basta:一種新的傳播方法
Black Basta是一種用C++編寫(xiě)的新型勒索軟件變體,首次發(fā)現(xiàn)于2022年2月,支持命令行參數(shù)“-forcepath”,該參數(shù)只用于加密指定目錄下的文件。否則,整個(gè)系統(tǒng)(除某些關(guān)鍵目錄外)將被加密。
2022年4月,Black Basta勒索軟件趨于成熟,新增了在加密之前以安全模式啟動(dòng)系統(tǒng)、出于持久性原因模仿Windows服務(wù)等功能。
2022年6月初,Black Basta團(tuán)伙與QBot惡意軟件攻擊團(tuán)伙達(dá)成合作,加大力度傳播他們的勒索軟件。Qbot團(tuán)伙出現(xiàn)在2008年,是一個(gè)基于Windows的信息竊取木馬,能夠記錄鍵盤(pán)、竊取cookies,以及提取網(wǎng)上銀行的相關(guān)細(xì)節(jié)和其他證書(shū)等。Qbot通過(guò)功能迭代不斷進(jìn)化,逐漸演變?yōu)楦邚?fù)雜的惡意軟件,具有巧妙的檢測(cè)規(guī)避、上下文感知交付策略,以及包括電子郵件劫持在內(nèi)的網(wǎng)絡(luò)釣魚(yú)功能等。
近期,Black Basta有了進(jìn)一步演變提升,發(fā)展出第二個(gè)可選的命令行參數(shù):“-bomb”。當(dāng)使用該參數(shù)時(shí),惡意軟件會(huì)執(zhí)行以下操作:
使用LDAP庫(kù)連接到AD,并獲取網(wǎng)絡(luò)上的機(jī)器列表;
使用機(jī)器列表,將“自己”復(fù)制到每臺(tái)機(jī)器;
使用組件對(duì)象模型(COM),在每臺(tái)機(jī)器上遠(yuǎn)程運(yùn)行。
顯示LDAP功能的代碼片段
使用內(nèi)置傳播方法有兩個(gè)危害:
在系統(tǒng)中留下的痕跡更少;
相較公共工具更隱蔽。例如攻擊者最喜歡的工具之一:PsExec,就很容易被檢測(cè)發(fā)現(xiàn),而這種內(nèi)置傳播的方法則可以降低惡意軟件被檢測(cè)到的可能性。
CLoader:通過(guò)惡意種子感染
網(wǎng)絡(luò)犯罪分子之前很少使用惡意種子(malicious torrent)來(lái)感染他們的目標(biāo)。然而CLoader傳播方式顯示,這也是一種不容忽視的感染方法。
CLoader首次發(fā)現(xiàn)于2022年4月,使用已破解的游戲和軟件作為誘餌,誘騙用戶下載安裝腳本中含有惡意代碼的NSIS安裝程序。
惡意腳本:紅色部分為惡意軟件下載代碼
CLoader總計(jì)共有以下6種不同的有效負(fù)載:
Microleaves惡意代理:在受感染的機(jī)器上作為代理運(yùn)行;
Paybiz惡意代理:在受感染的機(jī)器上作為代理運(yùn)行;
MediaCapital下載程序:可能會(huì)在系統(tǒng)中安裝更多的惡意軟件;
CSDI下載程序:可能會(huì)在系統(tǒng)中安裝更多的惡意軟件;
Hostwin64下載程序:可能會(huì)在系統(tǒng)中安裝更多的惡意軟件;
Inlog后門(mén):安裝合法的NetSupport應(yīng)用程序,用于遠(yuǎn)程訪問(wèn)機(jī)器。
研究發(fā)現(xiàn),世界各地目前都有用戶受到了該惡意軟件的感染,主要受害人群分布在美國(guó)、巴西和印度等地。
AdvancedIPSpyware:用惡意簽名篡改合法應(yīng)用
我們經(jīng)常遇到在合法軟件中添加惡意代碼以隱藏非法活動(dòng)并欺騙用戶的技術(shù),但不常遇到的是被惡意簽名的后門(mén)二進(jìn)制文件,AdvancedIPSpyware就是這種情況。它是網(wǎng)絡(luò)管理員用來(lái)控制LAN的合法Advanced IP Scanner工具的篡改版本,用于簽署惡意軟件的證書(shū)很可能被盜。
該惡意軟件托管在兩個(gè)站點(diǎn)上,其網(wǎng)站域名與合法的Advanced IP Scanner網(wǎng)站幾乎相同,僅URL中的一個(gè)字符不同。此外,這些網(wǎng)站與正規(guī)網(wǎng)站唯一的區(qū)別只有惡意網(wǎng)站上的“免費(fèi)下載”按鈕。
合法(左)與惡意簽名篡改后(右)的二進(jìn)制文件
AdvancedIPSpyware的另一個(gè)不常見(jiàn)的特性是它的模塊化架構(gòu)。我們觀察到以下三個(gè)通過(guò)IPC相互通信的模塊:
主模塊:更新或刪除自身,或產(chǎn)生另一個(gè)實(shí)例;
命令執(zhí)行模塊:典型的間諜軟件功能,例如信息收集、命令執(zhí)行等;
網(wǎng)絡(luò)通信模塊:處理所有與網(wǎng)絡(luò)相關(guān)的功能。
防御惡意軟件攻擊的建議
要防范以上惡意軟件入侵的新方式,首先需要用戶加強(qiáng)計(jì)算機(jī)使用安全防范意識(shí),利用掌握的計(jì)算機(jī)知識(shí)盡可能多地排除系統(tǒng)安全隱患,最大程度將惡意軟件擋在系統(tǒng)之外。通常我們可以通過(guò)以下幾個(gè)方面采取措施,防范惡意軟件的入侵:
01
加強(qiáng)系統(tǒng)安全設(shè)置
及時(shí)更新系統(tǒng)補(bǔ)丁和殺毒軟件:有部分惡意軟件非常善于利用系統(tǒng)漏洞,及時(shí)更新系統(tǒng)補(bǔ)丁有利于降低感染惡意軟件的風(fēng)險(xiǎn);
嚴(yán)格賬號(hào)管理:停用guest賬號(hào),為administrator賬號(hào)改名,刪除所有的duplicate user賬號(hào)、測(cè)試賬號(hào)、共享賬號(hào)等;不同的用戶組設(shè)置不同的權(quán)限,嚴(yán)格限制具有管理員權(quán)限的用戶數(shù)量,確保不存在密碼為空的賬號(hào);
關(guān)閉不必要的服務(wù)和端口:禁用存在安全隱患的服務(wù),關(guān)閉遠(yuǎn)程協(xié)助、遠(yuǎn)程桌面、遠(yuǎn)程注冊(cè)表、Telnet等端口。
02
加強(qiáng)網(wǎng)絡(luò)安全意識(shí)培養(yǎng)
不安裝不明來(lái)源的軟件:大多數(shù)的惡意軟件需要用戶下載并安裝,它們往往隱蔽附著在一些常見(jiàn)軟件里面,隨其一起安裝;
正確使用電子郵件、通訊軟件:電子郵件是惡意軟件傳播最原始和最常見(jiàn)的方式,不打開(kāi)不明郵件中的鏈接或下載郵件中的附件;
不隨意打開(kāi)不明網(wǎng)站:很多惡意軟件通過(guò)惡意網(wǎng)站進(jìn)行傳播。當(dāng)用戶使用瀏覽器打開(kāi)惡意網(wǎng)站時(shí),系統(tǒng)會(huì)自動(dòng)從后臺(tái)下載這些惡意軟件,并在用戶不知情的情況下安裝到電腦中;
安裝軟件時(shí)要“細(xì)看慢點(diǎn)”:很多捆綁了惡意軟件的安裝程序都有一些說(shuō)明,需要在安裝時(shí)注意并加以選擇,不能盲目“下一步”到底;
禁用或限制使用Java程序及ActiveX控件:惡意軟件經(jīng)常使用Java、Java Applet、ActiveX編寫(xiě)的腳本來(lái)獲取敏感信息,甚至?xí)谠O(shè)備上安裝某些程序或進(jìn)行其他操作,因此應(yīng)限制使用Java、Java小程序腳本、ActiveX控件和插件等。