模块化恶意软件:窃取数据的新型隐身攻击

恶意软件有各种形状和大小。此外,这些年来,恶意软件的复杂性已经大大提高。攻击者意识到,尝试将恶意程序包的各个方面放入单个有效负载中并不总是最有效的方法。

随着时间的流逝,恶意软件已成为模块化。也就是说,某些恶意软件变体可以使用不同的模块来更改它们如何影响目标系统。那么,什么是模块化恶意软件以及它如何工作?

什么是模块化恶意软件?

模块化恶意软件是一种高级威胁,可以在不同阶段攻击系统。模块化恶意软件没有通过前门爆炸,而是采取了更巧妙的方法。

它是通过仅首先安装必需组件来实现的。然后,第一个模块不会引起大肆宣传并提醒用户其存在,而是侦察系统和网络安全性。谁负责,正在执行哪些保护措施,恶意软件可以在哪里找到漏洞,哪些漏洞最有可能获得成功等。

在成功确定本地环境后,第一阶段恶意软件模块可以拨回到其命令和控制(C2)服务器。然后,C2可以将其他指令连同其他恶意软件模块一起发送回去,以利用该恶意软件在其中运行的特定环境。

与将所有功能打包到一个

  • 恶意软件作者可以迅速更改恶意软件签名,以逃避防病毒和其他安全程序。
  • 模块化恶意软件可为各种环境提供广泛的功能。这样,作者就可以对特定目标做出反应,或者指定专用模块在特定环境中使用。
  • 初始模块很小,而且易于混淆。
  • 组合多种恶意软件模块使安全研究人员可以猜测下一步会发生什么。
  • 模块化恶意软件并不是突然的新威胁。恶意软件开发人员长期以来一直有效地使用模块化恶意软件程序。区别在于,安全研究人员在更广泛的情况下遇到了更多的模块化恶意软件。研究人员还发现了巨大的Necurs僵尸网络(臭名昭著的是分发Dridex和Locky勒索软件变体),它们在分发模块化恶意软件有效载荷。 (无论如何,僵尸网络是什么?)

    模块化恶意软件示例

    有一些非常有趣的模块化恶意软件示例。以下是供您考虑的一些信息。

    VPNFilter是一种最新的恶意软件变体,可攻击路由器和物联网(IoT)设备。该恶意软件分为三个阶段。

    第一阶段恶意软件与命令和控制服务器联系,以下载第二阶段模块。第二阶段模块收集数据,执行命令并可能干扰设备管理(包括“使路由器,IoT或NAS设备“变砖"的能力)。第二阶段还可以下载第三阶段模块,这些模块的作用类似于第二阶段的插件。第3阶段模块包括用于SCADA流量的数据包嗅探器,数据包注入模块以及允许第2阶段恶意软件使用Tor网络进行通信的模块。

    您可以在其中了解有关VPNFilter的更多信息

    Palo Alto Networks安全研究人员发现了T9000恶意软件(与Terminator或Skynet没有关系……还是它?!)。

    T9000是一种情报和数据收集工具。安装后,T9000可使攻击者“捕获加密的数据,为特定应用程序截取屏幕快照并专门针对Skype用户"以及Microsoft Office产品文件。 T9000带有不同的模块,旨在逃避多达24种不同的安全产品,从而改变其安装过程,使其不受监视。

    DanaBot是一款具有多个插件的多阶段银行木马,作者使用该插件来扩展它的功能。 (如何快速有效地处理远程访问木马。)例如,在2018年5月,DanaBot被发现对澳大利亚银行进行了一系列攻击。当时,研究人员发现了一个数据包嗅探和注入插件,一个VNC远程查看插件,一个数据收集插件以及一个允许安全通信的Tor插件。

    “ DanaBot是银行木马,这意味着Proofpoint DanaBot博客文章中写道: “但是,正如我们在美国战役中所看到的那样,大批量攻击者的采用表明,积极发展,地理扩展以及威胁者不断对恶意软件产生兴趣。该恶意软件本身包含许多反分析功能,以及更新的窃取程序和远程控制模块,从而进一步提高了其对威胁参与者的吸引力和实用性。"

    我将三种模块化恶意软件变体组合到Proofpoint的出色安全研究人员发现了这三个部分。模块化恶意软件变体具有相似之处,但用途不同。此外,CobInt参与了Cobalt Group的活动,Cobalt Group是与众多银行和金融网络犯罪活动息息相关的犯罪组织。

    Marap和AdvisorsBot都被发现可以为防御和网络映射找出目标系统,以及恶意软件是否应下载完整的有效负载。如果目标系统具有足够的价值(例如,具有价值),则该恶意软件会呼吁进行第二阶段攻击。

    与其他模块化恶意软件变体一样,Marap,AdvisorsBot和CobInt遵循三个步骤流。通常,第一阶段是带有受感染附件的电子邮件,该电子邮件带有初始攻击。如果执行漏洞利用,恶意软件将立即请求第二阶段。第二阶段包含侦察模块,该模块评估目标系统的安全措施和网络状况。如果恶意软件认为一切都合适,那么将下载第三个也是最后一个模块,包括主要有效负载。

    Proofpoint anaylsis of:

  • Marap
  • AdvisorBot(和PoshAdvisor) )
  • CobIn
  • Mayhem是一种稍旧的模块化恶意软件变体,最早于2014年问世。但是,Mayhem仍然是出色的模块化恶意软件示例。 Yandex的安全研究人员发现了该恶意软件,它针对Linux和Unix Web服务器。它是通过恶意PHP脚本安装的。

    脚本一旦安装,便可以调用几个定义恶意软件最终用途的插件。

    这些插件包括针对FTP的蛮力密码破解程序。 ,WordPress和Joomla帐户,一个用于搜寻其他易受攻击服务器的网络爬虫以及一个利用Heartbleed OpenSLL漏洞的工具。

    我们最终的模块化恶意软件变体也是最完整的一种。出于以下几个原因,它也是最令人担忧的问题之一。

    原因之一:DiamondFox是一个模块化僵尸网络,可以在各种地下论坛上出售。潜在的网络罪犯可以购买DiamondFox模块化僵尸网络程序包,以访问各种高级攻击功能。该工具会定期更新,并且像所有良好的在线服务一样,具有个性化的客户支持。 (它甚至有一个更改日志!)

    第二点:DiamondFox模块化僵尸网络附带了一系列插件。可通过仪表板打开和关闭这些功能,而这些仪表板不会像智能家居应用那样不合时宜。插件包括量身定制的间谍工具,凭据窃取工具,DDoS工具,键盘记录器,垃圾邮件程序,甚至是RAM抓取工具。

    警告:以下视频中的音乐可能会或可能不会让人喜欢。

    当前,尚无特定工具可以防御特定模块化恶意软件变体。此外,某些模块化恶意软件变体的地理范围有限。例如,Marap,AdvisorsBot和CobInt主要分布在俄罗斯和独联体国家。

    Proofpoint研究人员指出,尽管当前存在地理限制,但如果其他犯罪分子看到这样的既定犯罪组织使用模块化恶意软件,其他人肯定也会效仿。

    了解模块化恶意软件如何到达您的系统非常重要。大多数使用受感染的电子邮件附件,通常包含带有恶意VBA脚本的Microsoft Office文档。攻击者使用此方法是因为很容易将受感染的电子邮件发送到数百万个潜在目标。此外,最初的漏洞利用程序很小,并且很容易伪装成Office文件。

    与以往一样,请确保您的系统处于最新状态,并考虑投资Malwarebytes Premium,这是值得的!

    标签: 行话 恶意软件 模块化恶意软件 特洛伊木马