非常見的惡意程式散播方法

雖然經常見到惡意程式利用電郵滲透公司的系統,但這並非唯一的方法,如果只著眼於此,大有可能被攻擊者從其他途徑有機可乘,以下將會介絕一些非常見,但在近年曾經出現過的惡意程式散播方法。

冒充合法工具

惡意程式AdvancedIPSpyware的製作者決定把他們的編碼放入Advanced IP Scanner工具之內,他們製作兩個與正版網頁完全相同的網站,網域名稱也只差一個字,然後便等待受害者透過搜尋本地網絡監察工具時,從假網站下載和安裝後門程式,而惡意程式具備合法的數碼證書,當然也是盜竊回來的。

YouTube影片下的連結

OnionPoison的操作人員創建了他們自己的惡意版Tor瀏覽器,然後把連結放到受歡迎的YouTube頻道之內,並附有安裝教學,這個被感染的版本不能更新,而且含有後門程式用來下載更多惡意內容,攻擊者藉此能夠在系統內執行任意指令,以及取得瀏覽的記錄和WeChat、QQ的帳號。

透過BT種子散播

Cloader的創作者把惡意程式安裝檔偽裝成盜版遊戲和有用的工具,這種方法傾向瞄準家庭用戶,但現時盛行在家遙距工作,惡意的BT檔案也有可能對工作電腦造成威脅,受害者嘗試經由BT下載盜版軟件時,結果是下載了惡意程式,然後更會安裝更多其他惡意程式,並且在未經授權下遙距存取受感染系統。

借合法工具橫向活動

最新版本的加密勒索程式BlackBasta能夠在本地網絡內使用某些Microsoft技術進行散播,在感染第一台電腦後,它能連接到Active Directory,取得本地網絡內的電腦清單,然後把惡意程式複製過去和遙距執行,全部通過Component Object Model (COM)去進行,這種方法在系統留下較少足跡,令偵測更加困難。

從多方面進行防護

以上的例子顯示了公司網絡需要從多方面進行防護,除了掃瞄寄入的釣魚電郵、惡意連結和附件以外,使用對抗惡意程式的防護方案也十分重要,如果想進一步瞭解公司網絡內到底發生甚麼事,EDR級別的方案是個好選擇。

資料來源:Kaspersky Blog