80%的攻击仅使用三个恶意软件加载程序

根据 IT 安全公司 ReliaQuest 的威胁研究人员的说法,QakBot、SocGholish 和 Raspberry Robin 这三种恶意软件加载程序在 80% 的事件中造成了严重破坏。

恶意软件加载程序用作传递和执行其他形式恶意软件的工具,例如勒索软件、病毒、木马或蠕虫。它们是攻击者在网络攻击初始阶段投放有效负载的最常用工具之一。

ReliaQuest 研究人员观察了消费者环境中最常见的变体,发现自今年年初以来,仅三个恶意软件加载程序就造成了大部分事件。

恶意软件加载程序对于网络安全团队来说很棘手,因为即使加载的恶意软件相同,一个加载程序的缓解措施也可能不适用于另一个加载程序。

仅仅因为检测到恶意软件加载程序,并不意味着目标网络受到损害;在观察到的大多数情况下,恶意软件加载程序都会在杀伤链的早期被检测到并停止。但至关重要的是,不要忽视任何加载程序的威胁,尤其是三种最受欢迎​​的加载程序。

但我们对主犯 QakBot(QBot、QuackBot、Pinkslipbot)、SocGholish 和 Raspberry Robin 了解多少?

根据最近的趋势,这些加载程序很可能会继续对组织构成威胁。

QakBot 变化很快

QakBot 与Black Basta 勒索软件组织相关,被设计为银行木马,然后通过新功能进行升级,成为一种通用的常见恶意软件。

QakBot 用于允许对目标网络的初始访问,还提供远程访问有效负载、窃取敏感数据并帮助横向移动和远程代码执行。

通常,QakBot 通过网络钓鱼电子邮件进行传递,该电子邮件为收件人提供定制的诱饵,例如工作订单、紧急请求、发票、文件附件或超链接。有效负载以 PDF、HTML 或 OneNote 文件的形式下载。

QakBot 然后使用 WSF、JavaScript、Batch、HTA 或 LNK 文件,这些文件在执行时通常通过计划任务或注册表运行键建立持久性。

QakBot 运营商足智多谋,能够快速响应或改变其交付策略。这种恶意软件是一种不断发展的持续威胁,用于伺机针对任何行业或地区。

SocGholish,一个用户可以影响整个系统

SocGholish,也称为 FakeUpdates,伪装成合法的软件更新。此 JavaScript 恶意软件加载程序针对基于 Microsoft Windows 的环境,并通过偷渡式攻击(无需用户交互即可下载)进行交付。

广泛的受感染网站网络的访问者通常会通过过时的浏览器提示或 Microsoft Teams 和 Adob​​e Flash 的其他更新诱惑,被诱骗下载'更新'。

SocGholish 与总部位于俄罗斯的出于经济动机的网络犯罪组织 Evil Corp 有联系。典型的目标是住宿和食品服务、零售贸易和法律服务,主要在美国。

SocGholish 还与初始访问代理 Exotic Lily 存在联系,后者开展高度复杂的网络钓鱼活动,以获得初始访问权限并将其出售给勒索软件组织或其他威胁行为者。

SocGholish 运营商使用令人信服的社会工程策略,而意识对于最大限度地减少这种威胁至关重要。

其庞大的恶意软件分发网络在受感染的网站和社交工程上运行;只需四次用户点击就可以在几天内影响整个计算机系统域或网络。

Raspberry Robin 一位全能选手

Raspberry Robin 与各种强大的恶意组织(包括 Evil Corp 和 Silence (Whisper Spider))相关,是一种高度难以捉摸的蠕虫病毒加载程序,针对 Microsoft Windows 环境。

当 cmd.exe 在受感染的 USB 上运行并执行 LNK 文件时,通过恶意 USB 设备进行初始感染后,其卓越的传播能力就会发挥作用。

LNK 文件包含触发本机 Windows 进程的命令,例如 msiexec.exe,以启动出站连接以下载 Raspberry Robin DLL。

除了 Cobalt Strike 工具之外,Raspberry Robin 还被用来传播多种勒索软件和其他恶意软件变体,例如"Cl0p"、"LockBit"、"TrueBot"和"Flawed Grace"。

2023 年,Raspberry Robin 运营商的目标是金融机构、电信、政府和制造组织。

Raspberry Robin 是威胁行为者武器库中非常有用的补充,可以帮助建立最初的网络立足点并提供多种形式的有效负载。

如何防御恶意软件加载程序?

有几个步骤可以帮助最大限度地减少恶意软件加载程序的威胁。以下是 ReliaQuest 的建议:

配置 GPO(组策略对象)以将 JS 文件的默认执行引擎从 Wscript 更改为记事本,以及您认为合适的任何其他脚本文件。这将阻止这些文件在主机上执行。

阻止具有通常用于恶意软件传递的文件扩展名的入站电子邮件。

通过防火墙或代理配置限制公司资产与互联网进行任意连接,以最大程度地减少恶意软件和 C2 活动。

限制远程访问软件的使用,除非个人工作绝对需要;或者,加强监控以发现滥用行为。网络犯罪分子(尤其是 IAB 和勒索软件运营商)喜欢使用此软件来获取和维护对网络的访问。

禁用 ISO 安装,这是绕过防病毒或端点检测工具的日益可靠的方法。

实施 USB 访问控制和 GPO 以防止自动运行命令执行。如果业务条件允许,请考虑禁用任何可移动媒体访问。

培训员工识别网络上使用的社会工程策略,并为他们打开适当的渠道来报告可疑电子邮件或其他活动。

相关推荐
热爱跑步的恒川2 小时前
【论文复现】基于图卷积网络的轻量化推荐模型
网络·人工智能·开源·aigc·ai编程
云飞云共享云桌面2 小时前
8位机械工程师如何共享一台图形工作站算力?
linux·服务器·网络
hikktn5 小时前
如何在 Rust 中实现内存安全:与 C/C++ 的对比分析
c语言·安全·rust
音徽编程5 小时前
Rust异步运行时框架tokio保姆级教程
开发语言·网络·rust
幺零九零零6 小时前
【C++】socket套接字编程
linux·服务器·网络·c++
23zhgjx-NanKon6 小时前
华为eNSP:QinQ
网络·安全·华为
23zhgjx-NanKon6 小时前
华为eNSP:mux-vlan
网络·安全·华为
点点滴滴的记录6 小时前
RPC核心实现原理
网络·网络协议·rpc
昔我往昔7 小时前
阿里云文本内容安全处理
安全·阿里云·云计算
Lionhacker7 小时前
网络工程师这个行业可以一直干到退休吗?
网络·数据库·网络安全·黑客·黑客技术