闞嘉懿

在電子郵件作為主要惡意軟件感染媒介的今天，網(wǎng)絡(luò)釣魚已經(jīng)成為大多數(shù)惡意軟件傳播的首選途徑。研究人員發(fā)現(xiàn)，非法攻擊者正在不斷尋找新的傳播路徑和感染手段，來增強(qiáng)惡意軟件的攻擊能力。為了更好地識(shí)別和預(yù)防惡意軟件攻擊，收集了近期新發(fā)現(xiàn)的3種惡意軟件，并對其感染方式和傳播路徑進(jìn)行簡單介紹。

Black Basta：一種新的傳播方法

Black Basta是一種用C++編寫的新型勒索軟件變體，首次發(fā)現(xiàn)于2022年2月，支持命令行參數(shù)-forcepath，該參數(shù)只用于加密指定目錄下的文件。否則，整個(gè)系統(tǒng)（除某些關(guān)鍵目錄外）將被加密。

2022年4月，Black Basta勒索軟件趨于成熟，新增了在加密之前以安全模式啟動(dòng)系統(tǒng)、出于持久性原因模仿Windows服務(wù)等功能。

2022年6月初，Black Basta團(tuán)伙與QBot惡意軟件攻擊團(tuán)伙達(dá)成合作，加大力度傳播他們的勒索軟件。Qbot團(tuán)伙出現(xiàn)在2008年，是一個(gè)基于Windows的信息竊取木馬，能夠記錄鍵盤、竊取cookies，以及提取網(wǎng)上銀行的相關(guān)細(xì)節(jié)和其他證書等。Qbot通過功能迭代不斷進(jìn)化，逐漸演變?yōu)楦邚?fù)雜的惡意軟件，具有巧妙的檢測規(guī)避、上下文感知交付策略，以及包括電子郵件劫持在內(nèi)的網(wǎng)絡(luò)釣魚功能等。

近期，Black Basta有了進(jìn)一步演變提升，發(fā)展出第2個(gè)可選的命令行參數(shù)：-bomb。當(dāng)使用該參數(shù)時(shí)，惡意軟件會(huì)執(zhí)行以下操作：

使用LDAP庫連接到AD，并獲取網(wǎng)絡(luò)上的機(jī)器列表；

使用機(jī)器列表，將“自己”復(fù)制到每臺(tái)機(jī)器；

使用組件對象模型（COM），在每臺(tái)機(jī)器上遠(yuǎn)程運(yùn)行；

顯示LDAP功能的代碼片段。

使用內(nèi)置傳播方法有2個(gè)危害：

在系統(tǒng)中留下的痕跡更少；

相較公共工具更隱蔽。

例如攻擊者最喜歡的工具之一：PsExec，就很容易被檢測發(fā)現(xiàn)，而這種內(nèi)置傳播的方法則可以降低惡意軟件被檢測到的可能性。

CLoader：通過惡意種子感染

網(wǎng)絡(luò)犯罪分子之前很少使用惡意種子（malicious torrent）來感染他們的目標(biāo)。然而CLoader傳播方式顯示，這也是一種不容忽視的感染方法。

CLoader首次發(fā)現(xiàn)于2022年4月，使用已破解的游戲和軟件作為誘餌，誘騙用戶下載安裝腳本中含有惡意代碼的NSIS安裝程序。

CLoader總計(jì)共有以下6種不同的有效負(fù)載：

Microleaves惡意代理：在受感染的機(jī)器上作為代理運(yùn)行；

Paybiz惡意代理：在受感染的機(jī)器上作為代理運(yùn)行；

MediaCapital下載程序：可能會(huì)在系統(tǒng)中安裝更多的惡意軟件；

CSDI下載程序：可能會(huì)在系統(tǒng)中安裝更多的惡意軟件；

Hostwin64下載程序：可能會(huì)在系統(tǒng)中安裝更多的惡意軟件；

Inlog后門：安裝合法的NetSupport應(yīng)用程序，用于遠(yuǎn)程訪問機(jī)器。

研究發(fā)現(xiàn)，世界各地目前都有用戶受到了該惡意軟件的感染，主要受害人群分布在美國、巴西和印度等地。

AdvancedIPSpyware：用惡意簽名篡改合法應(yīng)用

我們經(jīng)常遇到在合法軟件中添加惡意代碼以隱藏非法活動(dòng)并欺騙用戶的技術(shù)，但不常遇到的是被惡意簽名的后門二進(jìn)制文件，AdvancedIPSpyware就是這種情況。它是網(wǎng)絡(luò)管理員用來控制LAN的合法Advanced IP Scanner工具的篡改版本，用于簽署惡意軟件的證書很可能被盜。

該惡意軟件托管在2個(gè)站點(diǎn)上，其網(wǎng)站域名與合法的Advanced IP Scanner網(wǎng)站幾乎相同，僅URL中的一個(gè)字符不同。此外，這些網(wǎng)站與正規(guī)網(wǎng)站唯一的區(qū)別只有惡意網(wǎng)站上的“免費(fèi)下載”按鈕。

AdvancedIPSpyware的另一個(gè)不常見的特性是它的模塊化架構(gòu)，我們觀察到以下3個(gè)通過IPC相互通信的模塊：

主模塊：更新或刪除自身，或產(chǎn)生另一個(gè)實(shí)例；

命令執(zhí)行模塊：典型的間諜軟件功能，例如信息收集、命令執(zhí)行等；

網(wǎng)絡(luò)通信模塊：處理所有與網(wǎng)絡(luò)相關(guān)的功能。

防御惡意軟件攻擊的建議

要防范以上惡意軟件入侵的新方式，首先需要用戶加強(qiáng)計(jì)算機(jī)使用安全防范意識(shí)，利用掌握的計(jì)算機(jī)知識(shí)盡可能多地排除系統(tǒng)安全隱患，最大程度將惡意軟件擋在系統(tǒng)之外。通?？梢酝ㄟ^以下幾個(gè)方面采取措施，防范惡意軟件的入侵：

加強(qiáng)系統(tǒng)安全設(shè)置

及時(shí)更新系統(tǒng)補(bǔ)丁和殺毒軟件：有部分惡意軟件非常善于利用系統(tǒng)漏洞，及時(shí)更新系統(tǒng)補(bǔ)丁有利于降低感染惡意軟件的風(fēng)險(xiǎn)；

嚴(yán)格賬號管理：停用guest賬號，為administrator賬號改名，刪除所有的duplicate user賬號、測試賬號、共享賬號等；不同的用戶組設(shè)置不同的權(quán)限，嚴(yán)格限制具有管理員權(quán)限的用戶數(shù)量，確保不存在密碼為空的賬號；

關(guān)閉不必要的服務(wù)和端口：禁用存在安全隱患的服務(wù)，關(guān)閉遠(yuǎn)程協(xié)助、遠(yuǎn)程桌面、遠(yuǎn)程注冊表、Telnet等端口。

加強(qiáng)網(wǎng)絡(luò)安全意識(shí)培養(yǎng)

不安裝不明來源的軟件：大多數(shù)的惡意軟件需要用戶下載并安裝，它們往往隱蔽附著在一些常見軟件中，隨其一起安裝。

正確使用電子郵件、通訊軟件：電子郵件是惡意軟件傳播最原始和最常見的方式，不打開不明郵件中的鏈接或下載郵件中的附件。

不隨意打開不明網(wǎng)站：很多惡意軟件通過惡意網(wǎng)站進(jìn)行傳播。當(dāng)用戶使用瀏覽器打開惡意網(wǎng)站時(shí)，系統(tǒng)會(huì)自動(dòng)從后臺(tái)下載這些惡意軟件，并在用戶不知情的情況下將其安裝到電腦中。

安裝軟件時(shí)要“細(xì)看慢點(diǎn)”：很多捆綁了惡意軟件的安裝程序都有一些說明，需要在安裝時(shí)注意并加以選擇，不能盲目“下一步”到底。

禁用或限制使用Java程序及ActiveX控件：惡意軟件經(jīng)常使用Java、Java Applet、ActiveX編寫的腳本來獲取敏感信息，甚至?xí)谠O(shè)備上安裝某些程序或進(jìn)行其他操作，因此應(yīng)限制使用Java、Java小程序腳本、ActiveX控件和插件等。