模組化惡意軟體 - 竊取資料的新隱形攻擊方法

模組化惡意軟體 - 竊取資料的新隱形攻擊方法

惡意軟體 -惡意軟體- 以多種不同形式和規模進行攻擊。此外,多年來惡意軟體的複雜性也發生了顯著的變化。攻擊者意識到,嘗試將整個惡意軟體包一次性注入系統並不總是最有效的方法。

隨著時間的推移,惡意軟體已經變得模組化。某些惡意軟體變體可能使用不同的模組來改變它們影響目標系統的方式。那麼什麼是模組化惡意軟體以及它是如何運作的呢?我們透過下面的文章來了解一下吧!

模組化惡意軟體 - 竊取資料的新隱形攻擊方法

什麼是模組化惡意軟體?

模組化惡意軟體是一種危險的威脅,會在不同階段攻擊系統。惡意軟體模組沒有採取直接攻擊,而是採取了次要方法。

它透過首先僅安裝必要的組件來實現這一點。然後,第一個模組不是大肆宣傳並提醒用戶其存在,而是針對系統和網路安全;哪些部分主要負責、應用什麼類型的保護方法、惡意軟體可以在哪裡找到漏洞、哪些漏洞利用成功的機會最高等。

成功偵測本地環境後,第一階段惡意軟體模組可以與其命令和控制(C2)伺服器進行通訊。然後,C2 可以透過發送進一步的指令以及其他惡意軟體模組來回應,以利用惡意軟體運行的特定環境。

模組化惡意軟體比將所有功能捆綁到單一有效負載中的惡意軟體更有益,特別是:

  • 惡意軟體創建者可以快速更改惡意軟體的身份以逃避防毒和其他安全程式。
  • 惡意軟體模組允許將功能擴展到各種環境。在這種情況下,惡意軟體創建者可以對特定目標做出反應,或標記特定模組以在特定環境中使用。
  • 原來的模組非常小且更容易更改。
  • 組合多個惡意軟體模組可以幫助安全研究人員預測接下來會發生什麼。

模組化惡意軟體並不是新的威脅。惡意軟體開發人員長期以來一直有效地使用模組化惡意軟體程式。不同之處在於,安全研究人員在各種情況下遇到了更多的惡意軟體模組。研究人員還發現了大規模的 Necurs殭屍網路(因傳播 Dridex 和 Locky勒索軟體變體而臭名昭著)傳播惡意軟體模組。

惡意軟體模組範例

有一些非常有趣的惡意軟體模組範例。這裡有幾個。

VPN過濾器

VPNFilter是攻擊路由器和物聯網 (IoT)裝置的最新版本的惡意軟體。該惡意軟體分三個階段運作。

第一階段惡意軟體聯絡命令和控制伺服器以下載第二階段模組。第二階段模組收集資料、執行指令,並且可以介入設備管理(包括「凍結」路由器、物聯網設備或 NAS 的能力)。第二階段也可以下載第三階段模組,作為第二階段的插件。三階段模組包括 SCADA 流量檢測資料包、感染模組和允許第 2 階段惡意軟體使用Tor 網路進行通訊的模組。

您可以透過以下文章了解更多關於 VPNFilter 的資訊:如何在 VPNFilter 惡意軟體破壞路由器之前偵測到它。

模組化惡意軟體 - 竊取資料的新隱形攻擊方法

T9000

Palo Alto Networks 安全研究人員發現了 T9000 惡意軟體(與終結者或天網無關)。

T9000是一款資訊與資料收集工具。安裝後,T9000 允許攻擊者「擷取加密資料、截取特定應用程式的螢幕截圖並專門針對Skype使用者」以及 Microsoft Office 產品檔案。 T9000 配備了不同的模組,旨在規避 24 種不同的安全產品,並改變其安裝過程以保持不被發現。

達納機器人

DanaBot 是一種多階段銀行木馬,攻擊者使用不同的插件來擴展其功能。例如,2018 年 5 月,DanaBot 在針對澳洲銀行的一系列攻擊中被發現。當時,研究人員發現了一系列感染檢測插件、VNC 遠端查看插件、資料收集插件和允許安全通訊的 Tor 插件。

Proofpoint DanaBot 部落格稱:“DanaBot 是一種銀行木馬,這意味著它在某種程度上必然是針對地理目標的。” 「儘管我們在美國的活動中看到了許多預防措施,但仍然很容易看到惡意軟體的活躍成長、地理擴張和複雜性。危害正在增加。該惡意軟體本身包含多種反分析功能,以及定期更新的資訊竊取和遠端控制模組,增加了其對目標的威脅。”

Marap、AdvisorsBot 和 CobInt

本文將三種惡意軟體模組變體合併為一個部分,因為 Proofpoint 令人驚嘆的安全研究人員同時探索了這三種惡意軟體模組變體。這些惡意軟體模組變體相似,但用途不同。此外,CobInt 是 Cobalt Group 活動的一部分,該犯罪組織與銀行和金融領域的一長串網路犯罪分子有聯繫。

Marap 和 AdvisorsBot 的創建目的是針對整個目標系統進行防禦並映射網絡,然後確定惡意軟體是否應該下載整個有效負載。如果目標系統滿足需求(例如,有價值),則惡意軟體將繼續攻擊的第二階段。

與其他惡意軟體模組版本一樣,Marap、AdvisorsBot 和 CobInt 遵循三步驟流程。第一階段通常是一封帶有感染惡意軟體附件的電子郵件,用於初始利用目的。如果漏洞利用成功,惡意軟體會立即要求第二階段。第二階段附有偵察模組,用於評估目標系統的安全措施和網路狀況。如果惡意軟體表示一切正常,最後階段將下載第三個模組,包括主要有效負載。

模組化惡意軟體 - 竊取資料的新隱形攻擊方法

混亂

Mayhem 是惡意軟體模組的稍舊版本。它首次出現於 2014 年。然而,Mayhem 仍然是優秀模組化惡意軟體的一個例子。該惡意軟體由 Yandex 的安全研究人員發現,目標是Linux和 Unix Web 伺服器。它透過惡意 PHP 腳本安裝。

安裝後,該腳本可以呼叫多個插件來確定惡意軟體的最佳使用方式。

外掛程式包括針對 FTP、 WordPress和 Joomla帳戶的強力密碼破解程式、搜尋其他易受攻擊伺服器的網路爬蟲以及 Heartbleed 漏洞 OpenSLL。

鑽石狐

今天文章中的最終惡意軟體模組變體也是最完整的版本之一。由於幾個原因,這也是最令人擔憂的問題之一。

首先,DiamondFox 是一個在各種地下論壇上出售的模組化殭屍網路。潛在的網路犯罪分子可以購買 DiamondFox 模組化殭屍網路包來存取一系列高級攻擊功能。該工具會定期更新,並且與所有其他線上服務一樣,具有個人化的客戶支援。 (它甚至還有更改日誌!)

第二個原因,DiamondFox 模組化殭屍網路附帶了一堆插件。這些功能透過儀表板打開和關閉,就像智慧家庭應用程式一樣。外掛程式包括合適的間諜工具、憑證竊取工具、DDoS 工具、鍵盤記錄器、垃圾郵件,甚至是 RAM 掃描器。

模組化惡意軟體 - 竊取資料的新隱形攻擊方法

如何防止模組化惡意軟體攻擊?

目前,沒有特定的工具可以保護使用者免受惡意軟體模組變體的侵害。此外,某些惡意軟體模組變體的地理範圍有限。例如,Marap、AdvisorsBot 和 CobInt 主要分佈在俄羅斯和獨聯體國家。

Proofpoint 研究人員表明,儘管目前存在地域限制,但如果其他犯罪分子看到某個已建立的犯罪組織使用模組化惡意軟體,他們肯定會效仿。

了解惡意軟體模組如何到達您的系統非常重要。大多數記錄的案例使用了感染惡意軟體的電子郵件附件,通常包含帶有惡意 VBA 腳本的 Microsoft Office 文件。攻擊者使用此方法是因為可以輕鬆地將感染惡意軟體的電子郵件發送到數百萬個潛在目標。此外,最初的攻擊非常小,很容易偽裝成普通的 Office 檔案。

與往常一樣,請確保您的系統保持最新狀態,並考慮投資購買優質的防毒軟體。這很值得!

看更多:


什麼是惡意軟體 HackTool:Win32/Keygen?如何去除?

什麼是惡意軟體 HackTool:Win32/Keygen?如何去除?

您是否掃描過您的設備並發現它感染了 HackTool:Win32/Keygen?在您使用破解或金鑰產生器啟動進階軟體後,Windows Defender 可能會自動警告您有關此惡意軟體的存在。

在 Windows 10 上建立備份和還原點(Restore Point)的說明

在 Windows 10 上建立備份和還原點(Restore Point)的說明

探索如何在Windows 10上建立和管理還原點,這是一項有效的系統保護功能,可以讓您快速還原系統至先前狀態。

在 Windows 10 中開啟裝置管理員的 15 種方法

在 Windows 10 中開啟裝置管理員的 15 種方法

您可以使用以下 15 種方法輕鬆在 Windows 10 中開啟<strong>裝置管理員</strong>,包括使用命令、捷徑和搜尋。

Windows「顯示桌面」的 10 種超快速方法

Windows「顯示桌面」的 10 種超快速方法

很多人不知道如何快速顯示桌面,只好將各個視窗一一最小化。這種方法對於用戶來說非常耗時且令人沮喪。因此,本文將向您介紹Windows中快速顯示桌面的十種超快速方法。

如何使用 Windows Repair 修復 Windows 錯誤

如何使用 Windows Repair 修復 Windows 錯誤

Windows Repair 是一款有效的 Windows 錯誤修復工具,幫助使用者修復與 Internet Explorer、Windows Update 和其他重要程式相關的錯誤。

如何在 Windows 10 中開啟資料夾選項或檔案總管選項

如何在 Windows 10 中開啟資料夾選項或檔案總管選項

您可以使用檔案總管選項來變更檔案和資料夾的工作方式並控制顯示。掌握如何在 Windows 10 中開啟資料夾選項的多種方法。

有關在 Windows 10 上刪除使用者帳戶的 5 種方法的說明

有關在 Windows 10 上刪除使用者帳戶的 5 種方法的說明

刪除不使用的使用者帳戶可以顯著釋放記憶體空間,並讓您的電腦運行得更流暢。了解如何刪除 Windows 10 使用者帳戶的最佳方法。

如何使用Bootsect /nt60將VBC更新為BOOTMGR

如何使用Bootsect /nt60將VBC更新為BOOTMGR

使用 bootsect 命令能夠輕鬆修復磁碟區引導程式碼錯誤,確保系統正常啟動,避免 hal.dll 錯誤及其他啟動問題。

Windows 11 中的存檔應用程式功能是什麼?應該啟用還是停用它?

Windows 11 中的存檔應用程式功能是什麼?應該啟用還是停用它?

存檔應用程式是一項功能,可以自動卸載您很少使用的應用程序,同時保留其關聯的檔案和設定。了解如何有效利用 Windows 11 中的存檔應用程式功能。

如何在 Windows 10 上為 BlueStacks 5 啟用虛擬化 (VT)

如何在 Windows 10 上為 BlueStacks 5 啟用虛擬化 (VT)

要啟用虛擬化,您必須先進入 BIOS 並從 BIOS 設定中啟用虛擬化,這將顯著提升在 BlueStacks 5 上的效能和遊戲體驗。