Sophos發(fā)布Qakbot殭尸網(wǎng)絡(luò)研究 透過劫持電郵傳播
Sophos今日發(fā)布一篇對(duì)Qakbot殭尸網(wǎng)絡(luò)的深入研究,解釋為什么它對(duì)企業(yè)來說變得更先進(jìn)和更危險(xiǎn)。Sophos指出,殭尸網(wǎng)絡(luò)隨后會(huì)下載一系列額外的惡意模塊,以增強(qiáng)核心殭尸網(wǎng)絡(luò)的功能。
在這篇《Qakbot將自己插入電子郵件對(duì)話中》文章,Sophos研究人員詳細(xì)介紹最近的Qakbot殭尸網(wǎng)絡(luò)如何透過劫持電子郵件對(duì)話來進(jìn)行傳播,并會(huì)從遭感染的計(jì)算機(jī)收集各種設(shè)定信息,包括用戶帳戶和權(quán)限、已安裝軟件、正在運(yùn)作的服務(wù)等。
Qakbot的惡意軟件程序代碼具有非常規(guī)的加密功能,還會(huì)用于隱藏通訊內(nèi)容。Sophos對(duì)其惡意模塊進(jìn)行解密,并對(duì)殭尸網(wǎng)絡(luò)的命令和控制系統(tǒng)進(jìn)行譯碼,以解讀Qakbot如何接收指令。
Sophos首席威脅研究員Andrew Brandt表示:「Qakbot是一種模塊化且多用途的殭尸網(wǎng)絡(luò),它透過電子郵件傳播,可扮演成惡意軟件的傳遞網(wǎng)絡(luò),所以越來越受到攻擊者歡迎,例如Trickbot和Emotet。Sophos對(duì)Qakbot的深入分析揭露了擷取受害計(jì)算機(jī)設(shè)定數(shù)據(jù)的細(xì)節(jié)、殭尸網(wǎng)絡(luò)處理復(fù)雜命令序列的能力,以及一系列能擴(kuò)展殭尸網(wǎng)絡(luò)核心引擎功能的裝載。以為『商品型』殭尸網(wǎng)絡(luò)只是煩人的日子早已遠(yuǎn)去。」
Andrew Brandt進(jìn)一步表示:「安全部門需要認(rèn)真處理網(wǎng)絡(luò)上存在的Qakbot,并且調(diào)查和刪除每一個(gè)痕跡。殭尸網(wǎng)絡(luò)感染是勒索軟件攻擊的已知前兆。不僅是因?yàn)闅櫴W(wǎng)絡(luò)可以傳播勒索軟件,更因殭尸網(wǎng)絡(luò)開發(fā)者會(huì)出售或出租這些遭破壞網(wǎng)絡(luò)的訪問權(quán)限。例如,Sophos就遇到過將Cobalt Strike信標(biāo)直接傳送到遭感染主機(jī)的Qakbot樣本。一旦Qakbot操作者想要利用這些遭感染的計(jì)算機(jī),他們就可以將這些信目標(biāo)訪問權(quán)限轉(zhuǎn)讓、出租或出售給付費(fèi)的客戶?!?br/>Qakbot殭尸網(wǎng)絡(luò)將惡意郵件插入到現(xiàn)有的電子郵件討論串中。插入的電子郵件包括一句簡(jiǎn)短的句子和一個(gè)下載包含惡意Excel電子表格的zip檔案鏈接。使用者會(huì)被要求「打開內(nèi)容」以觸發(fā)感染鏈。一旦殭尸網(wǎng)絡(luò)感染新目標(biāo),它會(huì)進(jìn)行詳細(xì)的設(shè)定掃描,將數(shù)據(jù)分享到命令和控制服務(wù)器,然后下載其他惡意模塊。
Qakbot殭尸網(wǎng)絡(luò)會(huì)以動(dòng)態(tài)鏈接庫(DLL)的形式下載至少三種不同的惡意裝載。據(jù)Sophos稱,這些DLL裝載將為殭尸網(wǎng)絡(luò)提供更多種功能。
這些裝載會(huì)被插入瀏覽器并置入一個(gè)將密碼竊取程序代碼插入網(wǎng)頁的模塊;一個(gè)執(zhí)行網(wǎng)絡(luò)掃描的模塊,收集遭感染計(jì)算機(jī)鄰近其他計(jì)算機(jī)的數(shù)據(jù);一個(gè)會(huì)識(shí)別十幾個(gè)SMTP電子郵件服務(wù)器地址,然后嘗試聯(lián)機(jī)到每個(gè)服務(wù)器并發(fā)送垃圾郵件的模塊。
Sophos建議使用者謹(jǐn)慎處理不尋?;蝾A(yù)期之外的電子郵件,即使這些郵件看似是對(duì)現(xiàn)有電子郵件討論的回復(fù)。在Sophos調(diào)查的Qakbot活動(dòng)中,一個(gè)收件者可視為潛在危險(xiǎn)的信號(hào)是在URL中使用了拉丁詞組。
安全部門應(yīng)檢查現(xiàn)有安全技術(shù)提供的行為保護(hù)是否可以防止Qakbot感染。如果遭感染的使用者嘗試聯(lián)機(jī)到已知的命令和控制地址或網(wǎng)域,網(wǎng)絡(luò)設(shè)備也會(huì)通報(bào)系統(tǒng)管理員。 Sophos端點(diǎn)產(chǎn)品如Intercept X,可透過偵測(cè)攻擊者的動(dòng)作和行為來保護(hù)使用者。
評(píng)論