80%的攻击仅使用三个恶意软件加载程序

news2024/12/26 23:11:32

根据 IT 安全公司 ReliaQuest 的威胁研究人员的说法,QakBot、SocGholish 和 Raspberry Robin 这三种恶意软件加载程序在 80% 的事件中造成了严重破坏。

恶意软件加载程序用作传递和执行其他形式恶意软件的工具,例如勒索软件、病毒、木马或蠕虫。它们是攻击者在网络攻击初始阶段投放有效负载的最常用工具之一。

ReliaQuest 研究人员观察了消费者环境中最常见的变体,发现自今年年初以来,仅三个恶意软件加载程序就造成了大部分事件。

恶意软件加载程序对于网络安全团队来说很棘手,因为即使加载的恶意软件相同,一个加载程序的缓解措施也可能不适用于另一个加载程序。

仅仅因为检测到恶意软件加载程序,并不意味着目标网络受到损害;在观察到的大多数情况下,恶意软件加载程序都会在杀伤链的早期被检测到并停止。但至关重要的是,不要忽视任何加载程序的威胁,尤其是三种最受欢迎​​的加载程序。

但我们对主犯 QakBot(QBot、QuackBot、Pinkslipbot)、SocGholish 和 Raspberry Robin 了解多少?

根据最近的趋势,这些加载程序很可能会继续对组织构成威胁。

QakBot 变化很快

QakBot 与Black Basta 勒索软件组织相关,被设计为银行木马,然后通过新功能进行升级,成为一种通用的常见恶意软件。

QakBot 用于允许对目标网络的初始访问,还提供远程访问有效负载、窃取敏感数据并帮助横向移动和远程代码执行。

通常,QakBot 通过网络钓鱼电子邮件进行传递,该电子邮件为收件人提供定制的诱饵,例如工作订单、紧急请求、发票、文件附件或超链接。有效负载以 PDF、HTML 或 OneNote 文件的形式下载。

QakBot 然后使用 WSF、JavaScript、Batch、HTA 或 LNK 文件,这些文件在执行时通常通过计划任务或注册表运行键建立持久性。

QakBot 运营商足智多谋,能够快速响应或改变其交付策略。这种恶意软件是一种不断发展的持续威胁,用于伺机针对任何行业或地区。

SocGholish,一个用户可以影响整个系统

SocGholish,也称为 FakeUpdates,伪装成合法的软件更新。此 JavaScript 恶意软件加载程序针对基于 Microsoft Windows 的环境,并通过偷渡式攻击(无需用户交互即可下载)进行交付。

广泛的受感染网站网络的访问者通常会通过过时的浏览器提示或 Microsoft Teams 和 Adob​​e Flash 的其他更新诱惑,被诱骗下载‘更新’。

SocGholish 与总部位于俄罗斯的出于经济动机的网络犯罪组织 Evil Corp 有联系。典型的目标是住宿和食品服务、零售贸易和法律服务,主要在美国。

SocGholish 还与初始访问代理 Exotic Lily 存在联系,后者开展高度复杂的网络钓鱼活动,以获得初始访问权限并将其出售给勒索软件组织或其他威胁行为者。

SocGholish 运营商使用令人信服的社会工程策略,而意识对于最大限度地减少这种威胁至关重要。

其庞大的恶意软件分发网络在受感染的网站和社交工程上运行;只需四次用户点击就可以在几天内影响整个计算机系统域或网络。

Raspberry Robin 一位全能选手

Raspberry Robin 与各种强大的恶意组织(包括 Evil Corp 和 Silence (Whisper Spider))相关,是一种高度难以捉摸的蠕虫病毒加载程序,针对 Microsoft Windows 环境。

当 cmd.exe 在受感染的 USB 上运行并执行 LNK 文件时,通过恶意 USB 设备进行初始感染后,其卓越的传播能力就会发挥作用。

LNK 文件包含触发本机 Windows 进程的命令,例如 msiexec.exe,以启动出站连接以下载 Raspberry Robin DLL。

除了 Cobalt Strike 工具之外,Raspberry Robin 还被用来传播多种勒索软件和其他恶意软件变体,例如“Cl0p”、“LockBit”、“TrueBot”和“Flawed Grace”。

2023 年,Raspberry Robin 运营商的目标是金融机构、电信、政府和制造组织。

Raspberry Robin 是威胁行为者武器库中非常有用的补充,可以帮助建立最初的网络立足点并提供多种形式的有效负载。

如何防御恶意软件加载程序?

有几个步骤可以帮助最大限度地减少恶意软件加载程序的威胁。以下是 ReliaQuest 的建议:

配置 GPO(组策略对象)以将 JS 文件的默认执行引擎从 Wscript 更改为记事本,以及您认为合适的任何其他脚本文件。这将阻止这些文件在主机上执行。

阻止具有通常用于恶意软件传递的文件扩展名的入站电子邮件。

通过防火墙或代理配置限制公司资产与互联网进行任意连接,以最大程度地减少恶意软件和 C2 活动。

限制远程访问软件的使用,除非个人工作绝对需要;或者,加强监控以发现滥用行为。网络犯罪分子(尤其是 IAB 和勒索软件运营商)喜欢使用此软件来获取和维护对网络的访问。

禁用 ISO 安装,这是绕过防病毒或端点检测工具的日益可靠的方法。

实施 USB 访问控制和 GPO 以防止自动运行命令执行。如果业务条件允许,请考虑禁用任何可移动媒体访问。

培训员工识别网络上使用的社会工程策略,并为他们打开适当的渠道来报告可疑电子邮件或其他活动。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/937862.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Android SDK 上手指南||第八章 应用程序资源

第八章 应用程序资源 在系列教程中的最新一篇里,我们将研究大家最可能在第一个开发项目中涉及到的资源类型。项目资源当中包含布局、图片以及数据值,这些都是应用需要使用的元素。当我们创建一个新项目时,项目目录下会自动生成多个用于容纳通…

[管理与领导-53]:IT基层管理者 - 8项核心技能 - 8 - 持续改进

前言: 管理者存在的价值就是制定目标,即目标管理、通过团队(他人)拿到结果。 要想通过他人拿到结果: (1)目标:制定符合SMART原则的符合业务需求的目标,团队跳一跳就可以…

飞腾uboot命令简单介绍

飞腾uboot和开源uboot并无大差异,故飞腾uboot固件命令可以直接从网上搜索开源uboot相关命令。 这里为了便于大家调试,将一些可能用到的命令说明一下。 在 Uboot 命令行下,输入 help 将打印所有的可用命令,复杂命令操作,通过命令 help 的方式获取具体说明。 1.help命令 …

GDB用法(一)

预备 测试代码 main.cpp #include <iostream> #include <vector> #include "student.h"using namespace std;int add(int a, int b) {return a b; }int main() {vector<int> v {1, 3};Student* s1 new Student("zz", 20);Student* …

如何评估一个需求开发通常需要多长时间?

业务人员和产品管理者有时候会想要知道在他们即将进行的项目中&#xff0c;“处理需求”的环节会花费多长时间。但这个问题并没有固定的答案&#xff0c;因为这会取决于很多因素。 有许多已经公开的行业平均数据可以提供参考&#xff0c;它可以提示我们在一个典型项目中应该花…

本质矩阵E推R和T

https://zhuanlan.zhihu.com/p/500798616 https://zhuanlan.zhihu.com/p/435306687

在vue项目中引入vuex使用(引入到vue项目中)

项目下新建store文件 // npm下载后 导入 import Vue from vue import Vuex from vuex// 注册在vue实例上 Vue.use(Vuex)// 定义结构 export default new Vuex.Store({state: {},getters: {},mutations: {},actions: {},modules: {} })//main.js import store from ./storenew …

LLMs参数高效微调(PEFT) Parameter efficient fine-tuning (PEFT)

正如你在课程的第一周所看到的&#xff0c;训练LLMs需要大量的计算资源。完整的微调不仅需要内存来存储模型&#xff0c;还需要在训练过程中使用的各种其他参数。 即使你的计算机可以容纳模型权重&#xff0c;最大模型的权重现在已经达到几百GB&#xff0c;你还必须能够为优化…

windows系统 Fooocus 图片生成模型 ,4-6GB显存即可玩,27S/p

安装步骤: 1.下载程序代码框架,大小2GB ,下载 ​​​​​​https://github.com/lllyasviel/Fooocus/releases/download/1.0.35/Fooocus_win64_1-1-1035.7z 2.下载模型文件sd_xl_base_1.0_0.9vae.safetensors ,大小6GBhttps://huggingface.co/stabilityai/stable-diffusion-x…

【C++】—— C++11之线程库

前言&#xff1a; 在本期&#xff0c;我将给大家介绍的是 C11 中新引进的知识&#xff0c;即关于线程库的相关知识。 目录 &#xff08;一&#xff09;线程库的介绍 1、线程库的由来 2、线程库的简单介绍 &#xff08;二&#xff09;线程函数参数 &#xff08;三&#xf…

在线外卖平台源码 美团外卖源码 支持多商户+多样化配送费模式+本土外卖平台+支持第三方配送

进云仿美团外卖源码是一个进云源生插件&#xff0c;支持多商户多样化配送费模式本土外卖平台支持第三方配送&#xff0c;运行需要进云框架支撑&#xff01; 特点&#xff1a; 1、多样化配送费模式&#xff1b; 2、板块-绑定商户分类机制&#xff1b; 3、板块显示时间&#…

应急物资管理系统|库房三维可视化

智慧应急物资管理系统&#xff08;智装备DW-S300&#xff09;是一套成熟系统&#xff0c;依托互3D技术、云计算、大数据、RFID技术、数据库技术、AI、视频分析技术对RFID智能仓库进行统一管理、分析的信息化、智能化、规范化的系统。 政府相关部门设立的应急物资库是防灾救灾、…

javaCV实现java图片ocr提取文字效果

引入依赖&#xff1a; <dependency><groupId>org.bytedeco</groupId><artifactId>javacv-platform</artifactId><version>1.5.5</version></dependency> 引入中文语言训练数据集&#xff1a;chi_sim GitHub - tesseract-ocr…

Failed to load ApplicationContext解决办法,spring版本问题

有如下报错&#xff1a; "D:\Program Files\Java\jdk-13.0.1\bin\java.exe" -agentlib:jdwptransportdt_socket,address127.0.0.1:7325,suspendy,servern -ea -Didea.test.cyclic.buffer.size1048576 -Dfile.encodingUTF-8 -classpath "D:\Program Files\JetBr…

飞腾CPU如何使用PXE方式安装麒麟桌面系统?

目前国产CPU(桌面级、服务器级)中,飞腾应用较为广泛,在飞腾CPU架构下,搭载以银河麒麟V10 SP1系统为主,下面我们从环境准备、环境搭建、UEFI PXE功能确认、x86笔记本软件环境配置四部分来介绍国产笔记本电脑飞腾CPU使用PXE方式安装银河麒麟V10 SP1系统的详细过程。 一、环…

【RISC-V】RISC-V寄存器简介

一、通用寄存器 32位RISC-V体系结构提供32个32位的整型通用寄存器寄存器别名全称说明X0zero零寄存器可做源寄存器(rs)或目标寄存器(rd)X1ra链接寄存器保存函数返回地址X2sp栈指针寄存器指向栈的地址X3gp全局寄存器用于链接器松弛优化X4tp线程寄存器常用于在OS中保存指向进程控…

初阶数据结构(五) 栈的介绍与实现

&#x1f493;博主csdn个人主页&#xff1a;小小unicorn&#x1f493; ⏩专栏分类&#xff1a;C &#x1f69a;代码仓库&#xff1a;小小unicorn的学习足迹&#x1f69a; &#x1f339;&#x1f339;&#x1f339;关注我带你学习编程知识 栈 栈的介绍栈的概念栈的结构 栈的实现…

Spring Framework CVE-2020-5408 CORS 配置漏洞

文章目录 0.前言1.参考文档2.基础介绍3.解决方案3.1. CrossOrigin限制指定来源3.1. WebMvcConfigurer 限制指定来源3.3. 其他用法1. 在方法上使用CrossOrigin&#xff1a;2. 在Controller上使用CrossOrigin&#xff1a;3. 设置多个源&#xff1a;4. 设置所有源&#xff1a;5. …

nginx服务与调优

一、nginx概述&#xff1a; 1.Nginx简介&#xff1a; Nginx是一个高性能的HTTP和反向代理服务器。是一款轻量级的高性能的web服务器/反向代理服 务器/电子邮件&#xff08;IMAP/POP3&#xff09;代理服务器&#xff0c;单台物理服务器可支持30 000&#xff5e;50 000个并发请求…

初识umi

一、umi简介 Umi&#xff0c;中文发音为「乌米」&#xff0c;是可扩展的企业级前端应用框架。Umi 以路由为基础的&#xff0c;同时支持配置式路由和约定式路由&#xff0c;保证路由的功能完备&#xff0c;并以此进行功能扩展。然后配以生命周期完善的插件体系&#xff0c;覆盖…