全視域洞察阻斷內(nèi)網(wǎng)威脅,360安全衛(wèi)士主防7.0構筑“安全屏障”

  • 人閱讀
  • 2020-09-04 17:54:17

  • 來源:西盟科技資訊

  • 相關關鍵詞

相比于廣撒網(wǎng)式的盲目攻擊,針對政府、企業(yè)等高價值目標進行精準打擊,成為當下網(wǎng)絡攻擊演變的新趨勢。在此其中,“橫向滲透”這種攻擊方式因為可以在滲透目標內(nèi)網(wǎng)之后,通過各種攻擊手段以點破面,最大限度獲取目標資產(chǎn)的控制權,成為被眾多網(wǎng)絡黑客廣泛使用的“殺手锏”。

近期,360安全大腦監(jiān)測發(fā)現(xiàn),因竊取銀行登錄憑據(jù)而臭名昭著的Emotet木馬,現(xiàn)在開始通過創(chuàng)建遠程服務的手法進行橫向滲透,成為了分發(fā)Qakbot、TrickBot等其他惡意軟件的Loader。

對該木馬進行溯源并深入分析后,360安全大腦發(fā)現(xiàn)該木馬作者正在利用以“新型冠狀病毒”疫情為話題的釣魚郵件進行傳播,當木馬程序被啟動后,最新的Emotet變種通過下發(fā)Qbot進行橫向滲透。

目前,360安全大腦已針對此類木馬進行了全方位的查殺和攔截,建議廣大用戶盡快下載安裝最新beta版360安全衛(wèi)士,打開【我的電腦 — 安全防護中心】,可有效抵御各種橫向滲透攻擊。

全視域洞察阻斷內(nèi)網(wǎng)威脅,360安全衛(wèi)士主防7.0構筑“安全屏障”

借疫情熱度釣魚郵件泛濫

多代碼混淆隱藏病毒母體

360安全大腦在溯源分析后發(fā)現(xiàn),該木馬攻擊者會通過推送與新冠肺炎相關的釣魚郵件,并將郵件內(nèi)容包裝為當?shù)卣P于新型管狀病毒肺炎疫情的相關通報信息,誘導用戶打開攜帶惡意宏病毒的木馬附件。

全視域洞察阻斷內(nèi)網(wǎng)威脅,360安全衛(wèi)士主防7.0構筑“安全屏障”

附件文檔包含一個高度混淆的宏病毒,當用戶點擊啟用宏之后,會調(diào)用WMI啟動PowerShell并下載銀行木馬Emotet,早期版本的Emotet木馬具有銀行盜號模塊,主要針對銀行進行攻擊。最新版本的Emotet木馬則不再加載其自己的銀行木馬模塊,而是加載第三方惡意軟件。

全視域洞察阻斷內(nèi)網(wǎng)威脅,360安全衛(wèi)士主防7.0構筑“安全屏障”

此次Emotet木馬主要下發(fā)QBot木馬去竊取信息并進行橫向滲透,QBot使用了多種代碼混淆技術隱藏真正的病毒母體,其解密并加載被混淆的惡意載荷相關代碼邏輯如下:

全視域洞察阻斷內(nèi)網(wǎng)威脅,360安全衛(wèi)士主防7.0構筑“安全屏障”

解密后的惡意載荷是一個PE文件,即QBot母體。QBot在竊密功能之外新增橫向滲透功能以此來感染局域網(wǎng)內(nèi)的其他計算機。QBot加載并解密資源‘307’,解密后得到一個動態(tài)庫,該動態(tài)庫即為QBot進行橫向滲透的核心模塊。

全視域洞察阻斷內(nèi)網(wǎng)威脅,360安全衛(wèi)士主防7.0構筑“安全屏障”

Qbot通過枚舉域控服務器上的用戶賬戶,得到一個用戶名列表,配合弱口令字典對當前計算機連接的遠程機器進行爆破,如果連接成功則調(diào)用OpenSCManagerW與遠程計算機的服務控制管理器建立連接,并通過創(chuàng)建遠程服務的方式橫向移動到遠程機器。

全視域洞察阻斷內(nèi)網(wǎng)威脅,360安全衛(wèi)士主防7.0構筑“安全屏障”

受到感染的遠程機器也會進一步去感染網(wǎng)段內(nèi)的其他機器,擴大該病毒的傳播范圍。

Emotet木馬多年作惡加速演進

360安全衛(wèi)士主防7.0打造“銅墻鐵壁”

值得一提的是,Emotet木馬是一款于2014年就被發(fā)現(xiàn),且一直處于活躍狀態(tài)的惡意木馬家族。歷時多年,Emotet也已經(jīng)從簡單的銀行木馬,逐漸演變成下發(fā)各種惡意軟件的木馬分銷商,并且以基礎設施即服務的模式出售Emotet僵尸網(wǎng)絡的訪問權限。

為擴大其僵尸網(wǎng)絡的覆蓋面及影響力,Emotet木馬也在不斷進化其傳播方式,從最初垃圾郵件到近期的橫向滲透,Emotet木馬持續(xù)嚴重威脅到企業(yè)數(shù)字資產(chǎn)安全。而在未來,Emotet背后團伙絕不會止步于此,而是將會不斷研發(fā)和融合其他新的傳播手法,進一步鞏固其僵尸網(wǎng)絡帝國的統(tǒng)治力。

面對升維的網(wǎng)絡威脅挑戰(zhàn),在360安全大腦的極智賦能下,360安全衛(wèi)士主防7.0震撼上線,利用網(wǎng)絡側、終端側多維分析模型,通過網(wǎng)絡流量、終端日志、機器學習,以及現(xiàn)有安全基礎設施等手段,為用戶打造集"高級攻擊發(fā)現(xiàn)、橫向滲透防護、無文件攻擊防護、軟件劫持防護"于一體的全方位高級威脅防護壁壘。

另外,為全面保障政企機構內(nèi)網(wǎng)安全,360安全大腦給出如下建議:

1、前往weishi.#,下載安裝最新beta版360安全衛(wèi)士,打開【我的電腦 — 安全防護中心】,即可有效對此類木馬進行攔截查殺;

2、不要打開來歷不明的郵件,應將此類郵件交由安全部門進行排查,確認安全后再打開。

3、對未知安全性文件,切勿點擊“啟用宏”按鈕,以防止宏病毒入侵。

全視域洞察阻斷內(nèi)網(wǎng)威脅,360安全衛(wèi)士主防7.0構筑“安全屏障”

(免責聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏,概不負任何法律責任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權或存在不實內(nèi)容時,應及時向本網(wǎng)站提出書面權利通知或不實情況說明,并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關文章源頭核實,溝通刪除相關內(nèi)容或斷開相關鏈接。 )