模組化惡意軟體 - 竊取資料的新隱形攻擊方法

惡意軟體 -惡意軟體- 以多種不同形式和規模進行攻擊。此外，多年來惡意軟體的複雜性也發生了顯著的變化。攻擊者意識到，嘗試將整個惡意軟體包一次性注入系統並不總是最有效的方法。

隨著時間的推移，惡意軟體已經變得模組化。某些惡意軟體變體可能使用不同的模組來改變它們影響目標系統的方式。那麼什麼是模組化惡意軟體以及它是如何運作的呢？我們透過下面的文章來了解一下吧！

模組化惡意軟體 - 竊取資料的新隱形攻擊方法

什麼是模組化惡意軟體？
惡意軟體模組範例
如何防止模組化惡意軟體攻擊

什麼是模組化惡意軟體？

模組化惡意軟體是一種危險的威脅，會在不同階段攻擊系統。惡意軟體模組沒有採取直接攻擊，而是採取了次要方法。

它透過首先僅安裝必要的組件來實現這一點。然後，第一個模組不是大肆宣傳並提醒用戶其存在，而是針對系統和網路安全；哪些部分主要負責、應用什麼類型的保護方法、惡意軟體可以在哪裡找到漏洞、哪些漏洞利用成功的機會最高等。

成功偵測本地環境後，第一階段惡意軟體模組可以與其命令和控制（C2）伺服器進行通訊。然後，C2 可以透過發送進一步的指令以及其他惡意軟體模組來回應，以利用惡意軟體運行的特定環境。

模組化惡意軟體比將所有功能捆綁到單一有效負載中的惡意軟體更有益，特別是：

惡意軟體創建者可以快速更改惡意軟體的身份以逃避防毒和其他安全程式。
惡意軟體模組允許將功能擴展到各種環境。在這種情況下，惡意軟體創建者可以對特定目標做出反應，或標記特定模組以在特定環境中使用。
原來的模組非常小且更容易更改。
組合多個惡意軟體模組可以幫助安全研究人員預測接下來會發生什麼。

模組化惡意軟體並不是新的威脅。惡意軟體開發人員長期以來一直有效地使用模組化惡意軟體程式。不同之處在於，安全研究人員在各種情況下遇到了更多的惡意軟體模組。研究人員還發現了大規模的 Necurs殭屍網路（因傳播 Dridex 和 Locky 勒索軟體變體而臭名昭著）傳播惡意軟體模組。

惡意軟體模組範例

有一些非常有趣的惡意軟體模組範例。這裡有幾個。

VPN過濾器

VPNFilter是攻擊路由器和物聯網 (IoT)裝置的最新版本的惡意軟體。該惡意軟體分三個階段運作。

第一階段惡意軟體聯絡命令和控制伺服器以下載第二階段模組。第二階段模組收集資料、執行指令，並且可以介入設備管理（包括「凍結」路由器、物聯網設備或 NAS 的能力）。第二階段也可以下載第三階段模組，作為第二階段的插件。三階段模組包括 SCADA 流量檢測資料包、感染模組和允許第 2 階段惡意軟體使用Tor 網路進行通訊的模組。

您可以透過以下文章了解更多關於 VPNFilter 的資訊：如何在 VPNFilter 惡意軟體破壞路由器之前偵測到它。

模組化惡意軟體 - 竊取資料的新隱形攻擊方法

T9000

Palo Alto Networks 安全研究人員發現了 T9000 惡意軟體（與終結者或天網無關）。

T9000是一款資訊與資料收集工具。安裝後，T9000 允許攻擊者「擷取加密資料、截取特定應用程式的螢幕截圖並專門針對Skype使用者」以及 Microsoft Office 產品檔案。 T9000 配備了不同的模組，旨在規避 24 種不同的安全產品，並改變其安裝過程以保持不被發現。

達納機器人

DanaBot 是一種多階段銀行木馬，攻擊者使用不同的插件來擴展其功能。例如，2018 年 5 月，DanaBot 在針對澳洲銀行的一系列攻擊中被發現。當時，研究人員發現了一系列感染檢測插件、VNC 遠端查看插件、資料收集插件和允許安全通訊的 Tor 插件。

Proofpoint DanaBot 部落格稱：“DanaBot 是一種銀行木馬，這意味著它在某種程度上必然是針對地理目標的。” 「儘管我們在美國的活動中看到了許多預防措施，但仍然很容易看到惡意軟體的活躍成長、地理擴張和複雜性。危害正在增加。該惡意軟體本身包含多種反分析功能，以及定期更新的資訊竊取和遠端控制模組，增加了其對目標的威脅。”

Marap、AdvisorsBot 和 CobInt

本文將三種惡意軟體模組變體合併為一個部分，因為 Proofpoint 令人驚嘆的安全研究人員同時探索了這三種惡意軟體模組變體。這些惡意軟體模組變體相似，但用途不同。此外，CobInt 是 Cobalt Group 活動的一部分，該犯罪組織與銀行和金融領域的一長串網路犯罪分子有聯繫。

Marap 和 AdvisorsBot 的創建目的是針對整個目標系統進行防禦並映射網絡，然後確定惡意軟體是否應該下載整個有效負載。如果目標系統滿足需求（例如，有價值），則惡意軟體將繼續攻擊的第二階段。

與其他惡意軟體模組版本一樣，Marap、AdvisorsBot 和 CobInt 遵循三步驟流程。第一階段通常是一封帶有感染惡意軟體附件的電子郵件，用於初始利用目的。如果漏洞利用成功，惡意軟體會立即要求第二階段。第二階段附有偵察模組，用於評估目標系統的安全措施和網路狀況。如果惡意軟體表示一切正常，最後階段將下載第三個模組，包括主要有效負載。

模組化惡意軟體 - 竊取資料的新隱形攻擊方法

混亂

Mayhem 是惡意軟體模組的稍舊版本。它首次出現於 2014 年。然而，Mayhem 仍然是優秀模組化惡意軟體的一個例子。該惡意軟體由 Yandex 的安全研究人員發現，目標是Linux和 Unix Web 伺服器。它透過惡意 PHP 腳本安裝。

安裝後，該腳本可以呼叫多個插件來確定惡意軟體的最佳使用方式。

外掛程式包括針對 FTP、 WordPress和 Joomla帳戶的強力密碼破解程式、搜尋其他易受攻擊伺服器的網路爬蟲以及 Heartbleed 漏洞 OpenSLL。

鑽石狐

今天文章中的最終惡意軟體模組變體也是最完整的版本之一。由於幾個原因，這也是最令人擔憂的問題之一。

首先，DiamondFox 是一個在各種地下論壇上出售的模組化殭屍網路。潛在的網路犯罪分子可以購買 DiamondFox 模組化殭屍網路包來存取一系列高級攻擊功能。該工具會定期更新，並且與所有其他線上服務一樣，具有個人化的客戶支援。（它甚至還有更改日誌！）

第二個原因，DiamondFox 模組化殭屍網路附帶了一堆插件。這些功能透過儀表板打開和關閉，就像智慧家庭應用程式一樣。外掛程式包括合適的間諜工具、憑證竊取工具、DDoS 工具、鍵盤記錄器、垃圾郵件，甚至是 RAM 掃描器。

模組化惡意軟體 - 竊取資料的新隱形攻擊方法

如何防止模組化惡意軟體攻擊？

目前，沒有特定的工具可以保護使用者免受惡意軟體模組變體的侵害。此外，某些惡意軟體模組變體的地理範圍有限。例如，Marap、AdvisorsBot 和 CobInt 主要分佈在俄羅斯和獨聯體國家。

Proofpoint 研究人員表明，儘管目前存在地域限制，但如果其他犯罪分子看到某個已建立的犯罪組織使用模組化惡意軟體，他們肯定會效仿。

了解惡意軟體模組如何到達您的系統非常重要。大多數記錄的案例使用了感染惡意軟體的電子郵件附件，通常包含帶有惡意 VBA 腳本的 Microsoft Office 文件。攻擊者使用此方法是因為可以輕鬆地將感染惡意軟體的電子郵件發送到數百萬個潛在目標。此外，最初的攻擊非常小，很容易偽裝成普通的 Office 檔案。

與往常一樣，請確保您的系統保持最新狀態，並考慮投資購買優質的防毒軟體。這很值得！