电子邮件是当今恶意软件的主要感染媒介,钓鱼邮件已成为大多数恶意软件的首选传播方式。但研究人员发现,非法攻击者不断寻找新的传播路径和感染方式,以增强恶意软件的攻击能力。为了更好地识别和防范恶意软件攻击,本文收集了三种新发现的恶意软件,并简要介绍了它们的感染方式和传播路径。BlackBasta:一种新的传播方式BlackBasta是一种用C++编写的勒索病毒新变种,于2022年2月首次被发现,支持命令行参数“-forcepath”,仅用于加密指定目录文件。否则,整个系统(除了一些关键目录)将被加密。2022年4月,BlackBasta勒索软件成熟,增加了加密前以安全模式启动系统、出于持久性原因模仿Windows服务等功能。2022年6月上旬,BlackBasta团伙与QBot恶意软件攻击团伙合作,加大了传播勒索软件的力度。Qbot团伙于2008年出现,是一种基于Windows的信息窃取木马,可以记录击键、窃取cookie以及提取网上银行详细信息和其他凭据。Qbot通过功能迭代不断发展,逐渐演变成高度复杂的恶意软件,具有巧妙的检测规避、上下文感知交付策略和包括电子邮件劫持在内的网络钓鱼功能。最近,BlackBasta进一步发展,开发了第二个可选命令行参数:“-bomb”。使用此参数时,恶意软件会执行以下操作:使用LDAP库连接到AD并获取网络上的机器列表。使用机器列表,将“self”复制到每台机器。使用组件对象模型(COM)在每台计算机上远程运行。使用内置传播方法显示LDAP功能的代码片段有两个危害:在系统中留下更少的痕迹。比公共工具更隐蔽。例如,攻击者最喜欢的工具之一:PsExec,很容易被检测到,这种内置的传播方式可以降低恶意软件被检测到的可能性。CLoader:网络犯罪分子以前很少使用恶意种子来感染他们的目标。但从CLoader的传播方式可以看出,这也是一种不容忽视的感染方式。CLoader于2022年4月首次被发现,使用破解的游戏和软件作为诱饵,诱骗用户下载安装脚本中包含恶意代码的NSIS安装程序。恶意脚本:红色部分为恶意软件下载代码CLoader共有以下6种不同的payload:Microleaves恶意代理:在受感染机器上作为代理运行。Paybiz恶意代理:在受感染的机器上作为代理运行。MediaCapitalDownloader:可能会在系统中安装更多恶意软件。CSDI下载器:可能会在系统中安装更多恶意软件。Hostwin64Downloader:可能会在系统中安装更多恶意软件。Inlog后门:安装合法的NetSupport应用程序以远程访问机器。研究发现,目前世界各地的用户都感染了该恶意软件,主要受害者位于美国、巴西和印度。AdvancedIPSpyware:篡改合法应用程序的恶意签名我们经常遇到将恶意代码添加到合法软件以隐藏非法活动和欺骗用户的技术,但我们很少遇到恶意签名的后门二进制文件,AdvancedIPSpyware就是这种情况。它是网络管理员用来控制LAN的合法AdvancedIPScanner工具的篡改版本,用于签署恶意软件的证书很可能被盗。该恶意软件托管在两个站点上,这两个站点的域名与合法的AdvancedIPScanner网站几乎相同,仅URL中的一个字符不同。此外,这些网站与合法网站之间的唯一区别是恶意网站上的“免费下载”按钮。合法(左)和恶意签名篡改(右)二进制文件AdvancedIPSpyware的另一个不同寻常的特征是它的模块化架构。我们观察到以下三个模块通过IPC相互通信:主模块:更新或删除自身,或生成另一个实例;命令执行模块:典型的间谍软件功能,如信息收集、命令执行等;网络通信模块:处理所有与网络相关的功能。防御恶意软件攻击的建议为防止上述恶意软件入侵的新途径,用户首先需要加强计算机安全意识,利用计算机知识尽可能多地排除系统安全隐患,最大程度地将恶意软件拒之门外。程度。.通常,我们可以通过以下几个方面采取措施来防止恶意软件的入侵:1.加强系统安全设置,及时更新系统补丁和杀毒软件:有些恶意软件非常善于利用系统漏洞,更新系统及时修补将有助于降低感染风险。软件风险;严格的账户管理:禁用来宾账户,重命名管理员账户,删除所有重复用户账户、测试账户、共享账户等;为不同的用户组设置不同的权限,严格限制具有管理员权限的用户数量,确保没有空密码的账户;关闭不必要的服务和端口:关闭有安全风险的服务,关闭远程协助、远程桌面、远程注册、Telnet等端口。2、加强网络安全意识,培养不安装来路不明的软件:大多数恶意软件需要用户下载安装,而且往往隐藏在一些常用软件中并附带安装;正确使用电子邮件和通讯软件:电子邮件是恶意软件最原始、最常见的传播方式,不要打开未知邮件中的链接或下载邮件中的附件;不要随意打开未知网站:很多恶意软件都是通过恶意网站传播的。当用户使用浏览器打开恶意网站时,系统会在用户不知情的情况下自动从后台下载恶意软件并安装到电脑上;安装软件时“慢慢看”:很多恶意软件捆绑安装程序都有一些说明,安装时需要注意和选择,不能盲目“next”到最后;禁用或限制使用Java程序和ActiveX控件:恶意软件通常使用用Java、JavaApplet和ActiveX编写的脚本来获取敏感文件。信息,甚至在设备上安装某些程序或执行其他操作,因此应限制Java、Java小程序脚本、ActiveX控件和插件等的使用。
