|
Sophos 指出,殭屍網路隨後會下載一系列額外的惡意模組,以增強核心殭屍網路的功能。 Qakbot 的惡意軟體程式碼具有非常規的加密功能,還會用於隱藏通訊內容。Sophos 對其惡意模組進行解密,並對殭屍網路的命令和控制系統進行解碼,以解讀 Qakbot 如何接收指令。 Sophos 首席威脅研究員 Andrew Brandt 表示:「Qakbot 是一種模組化且多用途的殭屍網路,它透過電子郵件傳播,可扮演成惡意軟體的傳遞網路,所以越來越受到攻擊者歡迎,例如 Trickbot 和 Emotet。「Sophos 對 Qakbot 的深入分析揭露了擷取受害電腦設定資料的細節、殭屍網路處理複雜命令序列的能力,以及一系列能擴展殭屍網路核心引擎功能的裝載。以為『商品型』殭屍網路只是煩人的日子早已遠去。 「安全部門需要認真處理網路上存在的 Qakbot,並且調查和刪除每一個痕跡。殭屍網路感染是勒索軟體攻擊的已知前兆。不僅是因為殭屍網路可以傳播勒索軟體,更因殭屍網路開發者會出售或出租這些遭破壞網路的存取權限。例如,Sophos 就遇到過將 Cobalt Strike 信標直接傳送到遭感染主機的 Qakbot 樣本。一旦 Qakbot 操作者想要利用這些遭感染的電腦,他們就可以將這些信標的存取權限轉讓、出租或出售給付費的客戶。」
Qakbot 感染鏈和裝載
在 Sophos 分析的活動中,Qakbot 殭屍網路將惡意郵件插入到現有的電子郵件討論串中。插入的電子郵件包括一句簡短的句子和一個下載包含惡意 Excel 試算表的 zip 檔案連結。使用者會被要求「打開內容」以觸發感染鏈。一旦殭屍網路感染了新目標,它會進行詳細的設定掃描,將資料分享到命令和控制伺服器,然後下載其他惡意模組。 Qakbot 殭屍網路會以動態連結程式庫 (DLL) 的形式下載至少三種不同的惡意裝載。據 Sophos 稱,這些 DLL 裝載將為殭屍網路提供更多種功能。 這些裝載會被插入瀏覽器並置入以下內容: 一個將密碼竊取程式碼插入網頁的模組
一個執行網路掃描的模組,收集遭感染電腦鄰近其他電腦的資料
一個會識別十幾個 SMTP 電子郵件伺服器地址,然後嘗試連線到每個伺服器並發送垃圾郵件的模組 Sophos 安全建議
Sophos 建議使用者謹慎處理不尋常或預期之外的電子郵件,即使這些郵件看似是對現有電子郵件討論的回覆。在 Sophos 調查的 Qakbot 活動中,一個收件者可視為潛在危險的信號是在 URL 中使用了拉丁片語。 安全部門應檢查現有安全技術提供的行為保護是否可以防止 Qakbot 感染。如果遭感染的使用者嘗試連線到已知的命令和控制地址或網域,網路設備也會通報系統管理員。 Sophos 端點產品如 Intercept X,可透過偵測攻擊者的動作和行為來保護使用者。 - 新聞稿有效日期,至2022/04/13為止
聯絡人 :MalicHuang
聯絡電話:+88627311307
電子郵件:malic@wordtech.com.tw
 上一篇:活出減塑繽紛色彩 寀呈減碳產品成功導入烘焙產業
 下一篇:Temenos聯袂經濟學人智庫 銀行改變客戶體驗並推動新的商業模式
|
■ 我在中國工作的日子(十四)阿里巴巴敢給股票 - 2023/07/02 ■ 我在中國工作的日子(十三)上億會員怎麼管理 - 2023/06/25 ■ 我在中國工作的日子(十二)最好的公司支付寶 - 2023/06/18 ■ 我在中國工作的日子(十一)兩個女人一個男人 - 2023/06/11 ■ 我在中國工作的日子(十)千團大戰影音帶貨 - 2023/06/04 ■ 我在中國工作的日子(九)電視購物轉型電商 - 2023/05/28 ■ 我在中國工作的日子(八)那些從台灣來的人 - 2023/05/21 ■ 我在中國工作的日子(七)嘉丰資本擦身而過 - 2023/05/14 ■ 我在中國工作的日子(六)跟阿福有關的人們 - 2023/05/07
|
