账号:
密码:
最新动态
 
产业快讯
CTIMES/SmartAuto / 新闻 /
Sophos:Dridex和Entropy利用Windows系统弱点滥用合法工具
 

【CTIMES / SMARTAUTO ABC_1 报导】    2022年02月25日 星期五

浏览人次:【2436】

Sophos今日发布最新研究《Dridex??尸网路在近期攻击中散布Entropy勒索软体》,详细介绍用途广泛的Dridex??尸网路和鲜为人知的Entropy勒索软体程式码极为相似。相似之处包括用於隐藏勒索软体程式码的软体打包程式、寻找和模糊命令(API) 呼叫的恶意软体??程式,以及用於解密加密文字的??程式。

上述攻击锁定一家媒体公司和一家地方政府机构,使用特制版本的Entropy勒索软体动态连结程式库(DLL),并将目标名称嵌入在勒索软体程式码中。在两次攻击中,攻击者还在一些受害电脑上部署Cobalt Strike,并使用合法的WinRAR压缩工具将资料外泄到云端储存供应商,然後在未受保护的电脑上启动勒索软体。

Sophos首席研究员Andrew Brandt表示:「恶意软体操作者共用、借用或窃取彼此的程式码并非新鲜事,目的无非是为了节省撰写程式码的时间、故意误导追踪,或是分散安全研究人员的注意力。这种做法使我们更难找出能证实其与恶意软体家族相关或是被栽赃的证据,使得调查人员更难着手且攻击者更容易消遥法外。在本次分析中,Sophos仔细分析Dridex和Entropy用来增加监识分析难度的程式码,包括防止对底层恶意软体进行简单静态分析的打包程式码、程式用来隐藏命令(API)呼叫的??程式,以及解密恶意软体内加密文字字串的??程式。研究人员发现,两种恶意软体中的??程式基本上都使用了相似的程式码和逻辑。」

在针对媒体机构的攻击中,攻击者利用ProxyShell对有弱点的Exchange伺服器安装远端命令介面,以便日後能利用它将Cobalt Strike信标传播到其他电脑。攻击者在网路中待四个月,於2021年12月初启动Entropy。

在针对地方政府组织的攻击中,受害者是经由恶意电子邮件附件感染Dridex恶意软体。攻击者随後使用Dridex传递额外的恶意软体,并在目标网路内横向移动。事件分析表明,在最初侦测到某一电脑上出现可疑登入後75小时,攻击者开始窃取资料并将其转移到多个云端供应商。

调查发现,在这两个案例中,攻击者都利用未修补且易受攻击的Windows系统并滥用合法工具。定期安全修补,以及安排威胁捕猎人员和安全营运团队对可疑警示积极调查,有助於使攻击者更难获得目标的初始存取权限和部署恶意程式码。

Sophos端点产品(例如 Intercept X)能透过侦测勒索软体和其他攻击的动作和行为来保护使用者,例如上述Sophos研究中描述的攻击。

關鍵字: Sophos 
相关新闻
Sophos宣布新任总裁暨代理执行长
「全球网路安全日」重要性今胜於昔
Sophos:许多勒索软体集团蓄意发动远端加密攻击
Sophos:勒索软体集团利用媒体美化形象
Sophos:预期将出现使用AI的攻击技术并做好侦测准备
comments powered by Disqus
相关讨论
  相关文章
» 光通讯成长态势明确 讯号完整性一测定江山
» 分众显示与其控制技术
» 新一代Microchip MCU韧体开发套件 : MCC Melody简介
» 最隹化大量低复杂度PCB测试的生产效率策略
» 公共显示技术迈向新变革


刊登廣告 新聞信箱 读者信箱 著作權聲明 隱私權聲明 本站介紹

Copyright ©1999-2024 远播信息股份有限公司版权所有 Powered by O3  v3.20.1.HK8BA0TN8EGSTACUKE
地址:台北数位产业园区(digiBlock Taipei) 103台北市大同区承德路三段287-2号A栋204室
电话 (02)2585-5526 #0 转接至总机 /  E-Mail: webmaster@ctimes.com.tw