Sophos今日发布一篇对Qakbot??尸网路的深入研究，解释为什麽它对企业来说变得更先进和更危险。Sophos指出，??尸网路随後会下载一系列额外的恶意模组，以增强核心??尸网路的功能。

在这篇《Qakbot将自己??入电子邮件对话中》文章，Sophos研究人员详细介绍最近的Qakbot??尸网路如何透过劫持电子邮件对话来进行传播，并会从遭感染的电脑收集各种设定资讯，包括使用者帐户和权限、已安装软体、正在运作的服务等。

Qakbot的恶意软体程式码具有非常规的加密功能，还会用於隐藏通讯内容。Sophos对其恶意模组进行解密，并对??尸网路的命令和控制系统进行解码，以解读Qakbot如何接收指令。

Sophos首席威胁研究员Andrew Brandt表示：「Qakbot是一种模组化且多用途的??尸网路，它透过电子邮件传播，可扮演成恶意软体的传递网路，所以越来越受到攻击者欢迎，例如Trickbot和Emotet。Sophos对Qakbot的深入分析揭露了撷取受害电脑设定资料的细节、??尸网路处理复杂命令序列的能力，以及一系列能扩展??尸网路核心引擎功能的装载。以为『商品型』??尸网路只是烦人的日子早已远去。」

Andrew Brandt进一步表示：「安全部门需要认真处理网路上存在的Qakbot，并且调查和删除每一个痕迹。??尸网路感染是勒索软体攻击的已知前兆。不仅是因为??尸网路可以传播勒索软体，更因??尸网路开发者会出售或出租这些遭破坏网路的存取权限。例如，Sophos就遇到过将Cobalt Strike信标直接传送到遭感染主机的Qakbot样本。一旦Qakbot操作者想要利用这些遭感染的电脑，他们就可以将这些信标的存取权限转让、出租或出售给付费的客户。」

Qakbot??尸网路将恶意邮件??入到现有的电子邮件讨论串中。??入的电子邮件包括一句简短的句子和一个下载包含恶意Excel试算表的zip档案连结。使用者会被要求「打开内容」以触发感染链。一旦??尸网路感染新目标，它会进行详细的设定扫描，将资料分享到命令和控制伺服器，然後下载其他恶意模组。

Qakbot??尸网路会以动态连结程式库（DLL）的形式下载至少三种不同的恶意装载。据Sophos称，这些DLL装载将为??尸网路提供更多种功能。

这些装载会被??入浏览器并置入一个将密码窃取程式码??入网页的模组；一个执行网路扫描的模组，收集遭感染电脑邻近其他电脑的资料；一个会识别十几个SMTP电子邮件伺服器地址，然後尝试连线到每个伺服器并发送垃圾邮件的模组。

Sophos建议使用者谨慎处理不寻常或预期之外的电子邮件，即使这些邮件看似是对现有电子邮件讨论的回覆。在Sophos调查的Qakbot活动中，一个收件者可视为潜在危险的信号是在URL中使用了拉丁片语。

安全部门应检查现有安全技术提供的行为保护是否可以防止Qakbot感染。如果遭感染的使用者尝试连线到已知的命令和控制地址或网域，网路设备也会通报系统管理员。 Sophos端点产品如Intercept X，可透过侦测攻击者的动作和行为来保护使用者。