帳號:
密碼:
最新動態
產業快訊
CTIMES/SmartAuto / 新聞 /
Sophos:Dridex和Entropy利用Windows弱點惡意部署程式
 

【CTIMES/SmartAuto 劉昕 報導】   2022年02月25日 星期五

瀏覽人次:【2509】

Sophos今日發布最新研究《Dridex殭屍網路在近期攻擊中散佈Entropy勒索軟體》,詳細介紹用途廣泛的Dridex殭屍網路和鮮為人知的Entropy勒索軟體程式碼極為相似。相似之處包括用於隱藏勒索軟體程式碼的軟體打包程式、尋找和模糊命令(API) 呼叫的惡意軟體副程式,以及用於解密加密文字的副程式。

上述攻擊鎖定一家媒體公司和一家地方政府機構,使用特製版本的Entropy勒索軟體動態連結程式庫(DLL),並將目標名稱嵌入在勒索軟體程式碼中。在兩次攻擊中,攻擊者還在一些受害電腦上部署Cobalt Strike,並使用合法的WinRAR壓縮工具將資料外洩到雲端儲存供應商,然後在未受保護的電腦上啟動勒索軟體。

Sophos首席研究員Andrew Brandt表示:「惡意軟體操作者共用、借用或竊取彼此的程式碼並非新鮮事,目的無非是為了節省撰寫程式碼的時間、故意誤導追蹤,或是分散安全研究人員的注意力。這種做法使我們更難找出能證實其與惡意軟體家族相關或是被栽贓的證據,使得調查人員更難著手且攻擊者更容易消遙法外。在本次分析中,Sophos仔細分析Dridex和Entropy用來增加鑑識分析難度的程式碼,包括防止對底層惡意軟體進行簡單靜態分析的打包程式碼、程式用來隱藏命令(API)呼叫的副程式,以及解密惡意軟體內加密文字字串的副程式。研究人員發現,兩種惡意軟體中的副程式基本上都使用了相似的程式碼和邏輯。」

在針對媒體機構的攻擊中,攻擊者利用ProxyShell對有弱點的Exchange伺服器安裝遠端命令介面,以便日後能利用它將Cobalt Strike信標傳播到其他電腦。攻擊者在網路中待四個月,於2021年12月初啟動Entropy。

在針對地方政府組織的攻擊中,受害者是經由惡意電子郵件附件感染Dridex惡意軟體。攻擊者隨後使用Dridex傳遞額外的惡意軟體,並在目標網路內橫向移動。事件分析表明,在最初偵測到某一電腦上出現可疑登入後75小時,攻擊者開始竊取資料並將其轉移到多個雲端供應商。

調查發現,在這兩個案例中,攻擊者都利用未修補且易受攻擊的Windows系統並濫用合法工具。定期安全修補,以及安排威脅捕獵人員和安全營運團隊對可疑警示積極調查,有助於使攻擊者更難獲得目標的初始存取權限和部署惡意程式碼。

Sophos端點產品(例如 Intercept X)能透過偵測勒索軟體和其他攻擊的動作和行為來保護使用者,例如上述Sophos研究中描述的攻擊。

關鍵字: Sophos 
相關新聞
Sophos宣布新任總裁暨代理執行長
「全球網路安全日」重要性今勝於昔
Sophos:許多勒索軟體集團蓄意發動遠端加密攻擊
Sophos:勒索軟體集團利用媒體美化形象
Sophos:預期將出現使用AI的攻擊技術並做好偵測準備
相關討論
  相關文章
» 以馬達控制器ROS1驅動程式實現機器人作業系統
» 推動未來車用技術發展
» 節流:電源管理的便利效能
» 開源:再生能源與永續經營
» 「冷融合」技術:無污染核能的新希望?


刊登廣告 新聞信箱 讀者信箱 著作權聲明 隱私權聲明 本站介紹

Copyright ©1999-2024 遠播資訊股份有限公司版權所有 Powered by O3  v3.20.2048.3.145.179.30
地址:台北數位產業園區(digiBlock Taipei) 103台北市大同區承德路三段287-2號A棟204室
電話 (02)2585-5526 #0 轉接至總機 /  E-Mail: webmaster@ctimes.com.tw