账号:
密码:
最新动态
产业快讯
CTIMES/SmartAuto / 新闻 /
Sophos发布Qakbot??尸网路研究 透过劫持电子邮件传播
 

【CTIMES / SMARTAUTO ABC_1 报导】    2022年03月14日 星期一

浏览人次:【1907】

Sophos今日发布一篇对Qakbot??尸网路的深入研究,解释为什麽它对企业来说变得更先进和更危险。Sophos指出,??尸网路随後会下载一系列额外的恶意模组,以增强核心??尸网路的功能。

在这篇《Qakbot将自己??入电子邮件对话中》文章,Sophos研究人员详细介绍最近的Qakbot??尸网路如何透过劫持电子邮件对话来进行传播,并会从遭感染的电脑收集各种设定资讯,包括使用者帐户和权限、已安装软体、正在运作的服务等。

Qakbot的恶意软体程式码具有非常规的加密功能,还会用於隐藏通讯内容。Sophos对其恶意模组进行解密,并对??尸网路的命令和控制系统进行解码,以解读Qakbot如何接收指令。

Sophos首席威胁研究员Andrew Brandt表示:「Qakbot是一种模组化且多用途的??尸网路,它透过电子邮件传播,可扮演成恶意软体的传递网路,所以越来越受到攻击者欢迎,例如Trickbot和Emotet。Sophos对Qakbot的深入分析揭露了撷取受害电脑设定资料的细节、??尸网路处理复杂命令序列的能力,以及一系列能扩展??尸网路核心引擎功能的装载。以为『商品型』??尸网路只是烦人的日子早已远去。」

Andrew Brandt进一步表示:「安全部门需要认真处理网路上存在的Qakbot,并且调查和删除每一个痕迹。??尸网路感染是勒索软体攻击的已知前兆。不仅是因为??尸网路可以传播勒索软体,更因??尸网路开发者会出售或出租这些遭破坏网路的存取权限。例如,Sophos就遇到过将Cobalt Strike信标直接传送到遭感染主机的Qakbot样本。一旦Qakbot操作者想要利用这些遭感染的电脑,他们就可以将这些信标的存取权限转让、出租或出售给付费的客户。」

Qakbot??尸网路将恶意邮件??入到现有的电子邮件讨论串中。??入的电子邮件包括一句简短的句子和一个下载包含恶意Excel试算表的zip档案连结。使用者会被要求「打开内容」以触发感染链。一旦??尸网路感染新目标,它会进行详细的设定扫描,将资料分享到命令和控制伺服器,然後下载其他恶意模组。

Qakbot??尸网路会以动态连结程式库(DLL)的形式下载至少三种不同的恶意装载。据Sophos称,这些DLL装载将为??尸网路提供更多种功能。

这些装载会被??入浏览器并置入一个将密码窃取程式码??入网页的模组;一个执行网路扫描的模组,收集遭感染电脑邻近其他电脑的资料;一个会识别十几个SMTP电子邮件伺服器地址,然後尝试连线到每个伺服器并发送垃圾邮件的模组。

Sophos建议使用者谨慎处理不寻常或预期之外的电子邮件,即使这些邮件看似是对现有电子邮件讨论的回覆。在Sophos调查的Qakbot活动中,一个收件者可视为潜在危险的信号是在URL中使用了拉丁片语。

安全部门应检查现有安全技术提供的行为保护是否可以防止Qakbot感染。如果遭感染的使用者尝试连线到已知的命令和控制地址或网域,网路设备也会通报系统管理员。 Sophos端点产品如Intercept X,可透过侦测攻击者的动作和行为来保护使用者。

關鍵字: Qakbot  Sophos 
相关新闻
Sophos宣布新任总裁暨代理执行长
「全球网路安全日」重要性今胜於昔
Sophos:许多勒索软体集团蓄意发动远端加密攻击
Sophos:勒索软体集团利用媒体美化形象
Sophos:预期将出现使用AI的攻击技术并做好侦测准备
相关讨论
  相关文章
» 以马达控制器ROS1驱动程式实现机器人作业系统
» 推动未来车用技术发展
» 节流:电源管理的便利效能
» 开源:再生能源与永续经营
» 「冷融合」技术:无污染核能的新希???


刊登廣告 新聞信箱 读者信箱 著作權聲明 隱私權聲明 本站介紹

Copyright ©1999-2024 远播信息股份有限公司版权所有 Powered by O3  v3.20.1.HK8CO7042MASTACUK2
地址:台北数位产业园区(digiBlock Taipei) 103台北市大同区承德路三段287-2号A栋204室
电话 (02)2585-5526 #0 转接至总机 /  E-Mail: webmaster@ctimes.com.tw