在電子郵件作為主要惡意軟件感染媒介的今天，網(wǎng)絡(luò)釣魚已經(jīng)成為大多數(shù)惡意軟件傳播的首選途徑。但是研究人員發(fā)現(xiàn)，非法攻擊者正在不斷尋找新的傳播路徑和感染手段，來增強(qiáng)惡意軟件的攻擊能力。為了更好地識別和預(yù)防惡意軟件攻擊，本文收集了近期新發(fā)現(xiàn)的三種惡意軟件，并對其感染方式和傳播路徑進(jìn)行簡單介紹。

　　Black Basta：一種新的傳播方法

　　Black Basta是一種用C++編寫的新型勒索軟件變體，首次發(fā)現(xiàn)于2022年2月，支持命令行參數(shù)“-forcepath”，該參數(shù)只用于加密指定目錄下的文件。否則，整個系統(tǒng)（除某些關(guān)鍵目錄外）將被加密。

　　2022年4月，Black Basta勒索軟件趨于成熟，新增了在加密之前以安全模式啟動系統(tǒng)、出于持久性原因模仿Windows服務(wù)等功能。

　　2022年6月初，Black Basta團(tuán)伙與QBot惡意軟件攻擊團(tuán)伙達(dá)成合作，加大力度傳播他們的勒索軟件。Qbot團(tuán)伙出現(xiàn)在2008年，是一個基于Windows的信息竊取木馬，能夠記錄鍵盤、竊取cookies，以及提取網(wǎng)上銀行的相關(guān)細(xì)節(jié)和其他證書等。Qbot通過功能迭代不斷進(jìn)化，逐漸演變?yōu)楦邚?fù)雜的惡意軟件，具有巧妙的檢測規(guī)避、上下文感知交付策略，以及包括電子郵件劫持在內(nèi)的網(wǎng)絡(luò)釣魚功能等。

　　近期，Black Basta有了進(jìn)一步演變提升，發(fā)展出第二個可選的命令行參數(shù)：“-bomb”。當(dāng)使用該參數(shù)時，惡意軟件會執(zhí)行以下操作：

　　使用LDAP庫連接到AD，并獲取網(wǎng)絡(luò)上的機(jī)器列表；

　　使用機(jī)器列表，將“自己”復(fù)制到每臺機(jī)器；

　　使用組件對象模型（COM），在每臺機(jī)器上遠(yuǎn)程運(yùn)行。

　　顯示LDAP功能的代碼片段

　　使用內(nèi)置傳播方法有兩個危害：

　　在系統(tǒng)中留下的痕跡更少；

　　相較公共工具更隱蔽。例如攻擊者最喜歡的工具之一：PsExec，就很容易被檢測發(fā)現(xiàn)，而這種內(nèi)置傳播的方法則可以降低惡意軟件被檢測到的可能性。

　　CLoader：通過惡意種子感染

　　網(wǎng)絡(luò)犯罪分子之前很少使用惡意種子（malicious torrent）來感染他們的目標(biāo)。然而 CLoader傳播方式顯示，這也是一種不容忽視的感染方法。

　　CLoader首次發(fā)現(xiàn)于2022年4月，使用已破解的游戲和軟件作為誘餌，誘騙用戶下載安裝腳本中含有惡意代碼的NSIS安裝程序。

　　CLoader總計共有以下6種不同的有效負(fù)載：

　　Microleaves惡意代理：在受感染的機(jī)器上作為代理運(yùn)行；

　　Paybiz惡意代理：在受感染的機(jī)器上作為代理運(yùn)行；

　　MediaCapital下載程序：可能會在系統(tǒng)中安裝更多的惡意軟件；

　　CSDI下載程序：可能會在系統(tǒng)中安裝更多的惡意軟件；

　　Hostwin64下載程序：可能會在系統(tǒng)中安裝更多的惡意軟件；

　　Inlog后門：安裝合法的NetSupport應(yīng)用程序，用于遠(yuǎn)程訪問機(jī)器。

　　研究發(fā)現(xiàn)，世界各地目前都有用戶受到了該惡意軟件的感染，主要受害人群分布在美國、巴西和印度等地。

　　AdvancedIPSpyware：用惡意簽名篡改合法應(yīng)用

　　我們經(jīng)常遇到在合法軟件中添加惡意代碼以隱藏非法活動并欺騙用戶的技術(shù)，但不常遇到的是被惡意簽名的后門二進(jìn)制文件，AdvancedIPSpyware 就是這種情況。它是網(wǎng)絡(luò)管理員用來控制LAN的合法Advanced IP Scanner工具的篡改版本，用于簽署惡意軟件的證書很可能被盜。

　　該惡意軟件托管在兩個站點(diǎn)上，其網(wǎng)站域名與合法的Advanced IP Scanner網(wǎng)站幾乎相同，僅URL中的一個字符不同。此外，這些網(wǎng)站與正規(guī)網(wǎng)站唯一的區(qū)別只有惡意網(wǎng)站上的“免費(fèi)下載”按鈕。

　　AdvancedIPSpyware的另一個不常見的特性是它的模塊化架構(gòu)。我們觀察到以下三個通過IPC相互通信的模塊：

　　主模塊：更新或刪除自身，或產(chǎn)生另一個實(shí)例；

　　命令執(zhí)行模塊：典型的間諜軟件功能，例如信息收集、命令執(zhí)行等；

　　網(wǎng)絡(luò)通信模塊：處理所有與網(wǎng)絡(luò)相關(guān)的功能。

　　防御惡意軟件攻擊的建議

　　要防范以上惡意軟件入侵的新方式，首先需要用戶加強(qiáng)計算機(jī)使用安全防范意識，利用掌握的計算機(jī)知識盡可能多地排除系統(tǒng)安全隱患，最大程度將惡意軟件擋在系統(tǒng)之外。通常我們可以通過以下幾個方面采取措施，防范惡意軟件的入侵：

　　01 加強(qiáng)系統(tǒng)安全設(shè)置

　　及時更新系統(tǒng)補(bǔ)丁和殺毒軟件：有部分惡意軟件非常善于利用系統(tǒng)漏洞，及時更新系統(tǒng)補(bǔ)丁有利于降低感染惡意軟件的風(fēng)險；

　　嚴(yán)格賬號管理：停用guest賬號，為administrator賬號改名，刪除所有的duplicate user賬號、測試賬號、共享賬號等；不同的用戶組設(shè)置不同的權(quán)限，嚴(yán)格限制具有管理員權(quán)限的用戶數(shù)量，確保不存在密碼為空的賬號；

　　關(guān)閉不必要的服務(wù)和端口：禁用存在安全隱患的服務(wù)，關(guān)閉遠(yuǎn)程協(xié)助、遠(yuǎn)程桌面、遠(yuǎn)程注冊表、Telnet等端口。

　　02 加強(qiáng)網(wǎng)絡(luò)安全意識培養(yǎng)

　　不安裝不明來源的軟件：大多數(shù)的惡意軟件需要用戶下載并安裝，它們往往隱蔽附著在一些常見軟件里面，隨其一起安裝；

　　正確使用電子郵件、通訊軟件：電子郵件是惡意軟件傳播最原始和最常見的方式，不打開不明郵件中的鏈接或下載郵件中的附件；

　　不隨意打開不明網(wǎng)站：很多惡意軟件通過惡意網(wǎng)站進(jìn)行傳播。當(dāng)用戶使用瀏覽器打開惡意網(wǎng)站時，系統(tǒng)會自動從后臺下載這些惡意軟件，并在用戶不知情的情況下安裝到電腦中；

　　安裝軟件時要“細(xì)看慢點(diǎn)”：很多捆綁了惡意軟件的安裝程序都有一些說明，需要在安裝時注意并加以選擇，不能盲目“下一步”到底；

　　禁用或限制使用Java程序及ActiveX控件：惡意軟件經(jīng)常使用Java、Java Applet、ActiveX 編寫的腳本來獲取敏感信息，甚至?xí)谠O(shè)備上安裝某些程序或進(jìn)行其他操作，因此應(yīng)限制使用Java、Java小程序腳本、ActiveX控件和插件等。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<