歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
新聞
您現在位置 : 首頁 >
新聞
Dridex 殭屍網路和 Entropy 勒索軟體的程式碼極為相似
2022 / 03 / 01
編輯部
Sophos發布最新研究《Dridex 殭屍網路在近期攻擊中散佈 Entropy 勒索軟體》,詳細介紹用途廣泛的 Dridex 殭屍網路和鮮為人知的 Entropy 勒索軟體程式碼極為相似。相似之處包括用於隱藏勒索軟體程式碼的軟體打包程式、尋找和模糊命令 (API 呼叫) 的惡意軟體副程式,以及用於解密加密文字的副程式。
Sophos 在調查兩起攻擊者使用 Dridex 散播 Entropy 勒索軟體的事件時發現了這些相似之處。上述攻擊鎖定了一家媒體公司和一家地方政府機構,使用特製版本的 Entropy 勒索軟體動態連結程式庫 (DLL),並將目標名稱嵌入在勒索軟體程式碼中。在兩次攻擊中,攻擊者還在一些受害電腦上部署了 Cobalt Strike,並使用合法的 WinRAR 壓縮工具將資料外洩到雲端儲存供應商,然後在未受保護的電腦上啟動勒索軟體。
Sophos 首席研究員 Andrew Brandt 表示:「惡意軟體操作者共用、借用或竊取彼此的程式碼並非新鮮事,目的無非是為了節省撰寫程式碼的時間、故意誤導追蹤,或是分散安全研究人員的注意力。這種做法使我們更難找出能證實其與惡意軟體家族相關或是被栽贓的證據,使得調查人員更難著手且攻擊者更容易消遙法外。在本次分析中,Sophos 仔細分析 Dridex 和 Entropy 用來增加鑑識分析難度的程式碼,包括防止對底層惡意軟體進行簡單靜態分析的打包程式碼、程式用來隱藏命令 (API) 呼叫的副程式,以及解密惡意軟體內加密文字字串的副程式。研究人員發現,兩種惡意軟體中的副程式基本上都使用了相似的程式碼和邏輯。」
不同的攻擊方法
除了在程式碼中發現相似處外,Sophos 研究人員還發現了一些顯著的差異。在針對媒體機構的攻擊中,攻擊者利用 ProxyShell 對有弱點的 Exchange 伺服器安裝遠端命令介面,以便日後能利用它將 Cobalt Strike 信標傳播到其他電腦。攻擊者在網路中待了四個月,然後於 2021 年 12 月初啟動 Entropy。
在針對地方政府組織的攻擊中,受害者是經由惡意電子郵件附件感染 Dridex 惡意軟體。攻擊者隨後使用 Dridex 傳遞額外的惡意軟體,並在目標網路內橫向移動。事件分析表明,在最初偵測到某一電腦上出現可疑登入後 75 小時,攻擊者開始竊取資料並將其轉移到多個雲端供應商。
調查發現,在這兩個案例中,攻擊者都利用了未修補且易受攻擊的 Windows 系統並濫用合法工具。定期安全修補,以及安排威脅捕獵人員和安全營運團隊對可疑警示積極調查,有助於使攻擊者更難獲得目標的初始存取權限和部署惡意程式碼。
Sophos
Dridex
殭屍網路
Entropy
勒索軟體
最新活動
2024.12.19
2024 企業資安前瞻論壇 : 迎向複雜資安威脅的新時代
2024.12.19
數位轉型與資安未來-打造企業級基礎設施、網路安全與API管理
2024.12.20
『Silverfort Essential︰統一身份保護平台套件』 網路研討會
2025.02.15
2025年ipas資訊安全工程師(初級/中級)-能力培訓班
看更多活動
大家都在看
多家依賴 CDN 業者提供 WAF 服務的企業用戶因設定不當暴露於資安威脅
新型釣魚攻擊手法:利用損壞的 Word 文件躲避資安檢測
美國CISA示警Zyxel等品牌之網路設備遭受攻擊中
大規模採用中國光學雷達設備 恐對國家安全構成威脅
「Q-day」來臨! 雲端遷移成企業資安關鍵
資安人科技網
文章推薦
中華資安國際再獲Frost & Sullivan 2024台灣年度最佳資安服務公司大獎
Google推出開源補丁驗證工具Vanir,加速Android安全更新
Black Basta勒索軟體進化:結合電郵轟炸、QR碼與社交工程手法