Cryptolocker和Gameoverzeus的破坏

解开Zeus Botnet基础架构的一部分难度正在映射出来。攻击者通常在电子邮件文件中植入一般丢弃器,伪装,通过使用诸如BlackHole等流行的漏洞利用套件来查看文档或通过网站,可以识别每个访问者上的易受攻击的软件并提供正确的漏洞利用。

初始滴管不会’T被归类为宙斯。相反,它有一个硬编码地址列表来下载Zeus。下载并执行后,为每个感染的飞行创建一个新的变体,然后删除原始丢弃的zeus。这使得防病毒供应商难以识别所有受损的系统,因为每个受感染的系统都有自己独特的副本。

一个月前一点,我分析了一个游戏样本。手动分析未覆盖在安装宙斯时,滴管快速运行专用密码窃听,旨在从Web浏览器等流行软件获取保存的密码,然后删除它。那非常重要的细节不是’在自动恶意软件分析引擎生成的报告中可以看到。

我在评论部分分享了我的分析 virustotal报告。此外,您可以在此中看到 报告 即截至四周前,当最后提交Zeus样本时,只有6个抗病毒发动机中只有6个检测到它。我向防病毒供应商提交了所有样本,现在的检测率可能更好。

ZUES / ZBOT BOTNETS非常常见,以最小的投资运行。犯罪分子支付Zeus Builder的自定义变体,保证通过防病毒软件创建新的变体。然后他们继续他们的网络钓鱼活动,这一切都没有成本,或者他们为漏洞套装支付,以便他们不’T必须担心电子邮件附件被阻止。

大多数检测僵尸网络滴管的安全软件只有一个或两个托管僵尸网络可执行文件的服务器的信息。它需要手动分析,以发现任何给定宙斯广告系列产生的所有指标。您可以看到我在6月1日在我的家庭电子邮件中到达的新样本上的手动分析。请参阅此评论部分 毒品进入 对于我的手动分析结果,然后与此自动化威胁报告进行比较。自动报告确定了一个域,下载Zeus。手动分析揭示了所有十个和叙事的事件序列。

担心僵尸网络感染的人和组织可以通过以下这些建议避免很多麻烦:

1.阻止包含具有EXE和SCR等可执行文件的可执行文件或ZIP文件的电子邮件附件。

2.使用漏洞缓解软件来弥补未划分的软件,以避免被利用套件击中。 Microsoft增强的缓解体验工具包(EMET)有一个经过验证的轨道记录,可在软件补丁甚至可用之前保护包括罕见的0days。此外,EMET可以使用组策略在公司环境中管理。

3.安装防病毒软件。虽然不完美,但防病毒软件仍然可以捕获大百分比的恶意软件并减少噪音。

4.对于拥有内部安全工作人员的组织,我建议学习如何进行手动分析,以便可以充分调查事件来揭示其现有的安全产品’告诉他们。由于我们在最近看到的情况下,被盗的密码可能导致诸如电线欺诈或数据被盗等地区 eBay事件 攻击者使用员工凭据登录并进入数据库的地方。

分享这个