这三大主流木马程序 学网安的一定要了解
这三大主流木马程序 学网安的一定要了解
根据ReliaQuest最新发布的报告,2023年迄今为止观察到的计算机和网络攻击80%都涉及三种木马程序,它们分别是:QBot、SocGholish和Raspberry Robin。
报告称,QBot是2023年1月1日至7月31日期间最常见的恶意软件加载程序,占检测到的网络攻击的30%。SocGholish以27%位居第二,RaspberryRobin则以23%排名第三。三者遥遥领先于TOP10中的其他七个加载器。
恶意软件感染的中间阶段就是在受害者的计算机上运行的加载程序。黑客会利用某些漏洞或者发送带有恶意附件的电子邮件来传播加载程序。
加載程序通常被安全团队称為噩夢。因为它们具有隱蔽性,加載程序可以使用各種技術來隱藏自己,例如使用rootkit技術修改操作系統,或者使用加密和壓縮來混淆代碼。這使得檢測和定位加載程序變得非常困難。
同时还具有持久性。加載程序通常旨在在受感染系統上長期存在。它們可能會在系統啟動時自動啟動,並且在被發現並刪除後仍然能夠重新注入。 後門功能也為攻擊者提供遠程訪問和控制受感染系統的能力。攻擊者可以進一步進行各種惡意操作,包括盜取敏感信息、攻擊其他系統等。
我们来具体了解下这几款程序:
QBot(也称为Qakbot)是一款已有16年历史的银行木马,它首次发现于2008年。QBot可以通过网络传播和感染计算机系统。它通常通过垃圾邮件、恶意链接、恶意附件或已感染的网站传播。
一旦感染了系统,QBot会在受感染计算机上部署一个控制器模块,允许攻击者远程控制受感染的计算机。QBot还可以窃取敏感信息,例如登录凭据、银行账户信息和其他个人身份信息。
QBot还具有蠕虫特性,它可以自动扫描网络中的其他计算机,并尝试通过已知漏洞和弱密码进行传播。这使得QBot变得非常具有破坏力,可能导致大规模感染。
近年来功能迭代迅速,属于所谓的“敏捷木马”,现已发展到能够传播勒索软件、窃取敏感数据、在企业IT环境中实现横向移动以及部署远程代码执行软件。
6月,Lumen的Black Lotus Labs威胁情报小组发现QBot使用新的恶意软件交付方法和命令与控制基础设施,其中四分之一的活动时间仅为一天。安全研究人员表示,这种演变可能是为了应对微软去年默认阻止Office用户使用互联网来源的宏的措施。
SocGholish
SocGholish(也称为SocialGholish)是一种具有社交工程特性的恶意软件,首次被发现于2017年。是一个面向Windows的基于JavaScript的代码块。
SocGholish通常通过垃圾邮件、恶意广告或已感染的网站等偷渡式攻击和社会工程活动形式进行传播。攻击者会使用欺骗性的社交工程手法来引诱用户点击恶意链接或下载恶意附件。据Google威胁分析小组称,Exotic Lily曾一度每天向全球约650个目标组织发送超过5000封电子邮件。
一旦感染了系统,SocGholish会被激活,并开始执行恶意活动。它可以窃取用户的敏感信息,例如登录凭据、银行账户信息和其他重要数据。此外,SocGholish还可以下载和安装其他恶意软件,或将受感染的计算机加入一个恶意网络,形成一个僵尸网络(botnet),用于进行进一步的攻击活动。
2023年上半年,ReliaQuest追踪到SocGholish运营商实施了“激进的水坑攻击”。
威胁研究人员表示:“他们破坏并感染了大型企业的网站。毫无戒心的访问者不可避免地下载了SocGholish恶意负载,从而导致大面积感染。”
Raspberry Robin
Raspberry Robin是一种Windows蠕虫病毒, 该恶意软件通过可移动USB设备传播。攻击方法很简单:受感染的设备含有LNK文件(Windows快捷方式)。用户插入U盘、启动伪装成U盘或网络共享的LNK后,它会启动Windows实用程序msiexec。
一旦执行,由于参数中指定的URL, msiexec随后会从受攻击的QNAP实例中下载在MSI(Windows安装包)中打包的Raspberry Robin的主组件。
Raspberry Robin的主组件是一个复杂的恶意软件变种,SEKOIA.IO的分析师在2022年初曾试图进行逆向工程分析,但未能如愿以偿。据Avast的研究显示,它有14层混淆机制,使用TOR聚合(rendez-vous)进行通信,并使用创新的方法在受攻击系统上保持不被检测出来。只有几个特别之处让防御者得以揪出网络中的Raspberry Robin,比如所投放文件的文件扩展名、与可供辨别的URL模式相关的MSI执行、rundll32参数或从特定工作站连接到TOR节点。
Raspberry Robin与俄罗斯的Evil Corp和“邪恶蜘蛛“有关联。在2023年上半年,Raspberry Robin主要被用于针对金融机构、电信、政府和制造组织的攻击,主要在欧洲,但也有部分在美国。
加載程序的存在對於安全團隊來說是一個巨大的挑戰,需要使用先進的安全工具和技術來檢測、定位和清除這些威脅。