微软:Qakbot、Emotet木马的魔爪正在伸向企业用户
翻译:360代码卫士团队
微软指出,Quackbot和Emotet信息窃取木马在过去的几个月里发动了新的攻击活动,并且正在针对中小企业和其它组织机构发动攻击。
这两个恶意软件家族的行为类似,都是针对个人网银用户,不过他们的运营人员似乎在考虑新的收益流。这两款木马已扩展其传播能力来增加多次感染企业网络的成功几率。
多年来,Qakbot和Emotet木马的作者都集中于改进其代码能力来逃避检测,并增加传播到其它潜在受害者的几率。微软在一篇博客中指出,这两款恶意软件家族的行为展现出很多相似之处。
这两款木马都使用病毒释放器实施感染(一些最新的Quakbot变体通过利用包传播),病毒释放器负责将代码注入explorer.exe中,将payload释放到随机文件夹中并确保持续性。这两个恶意软件家族都能将加密信息发送到命令和控制服务器中。
它们的目的都是窃取受害者的信息并可通过以下方式实现:记录按键、钩住浏览器以及和网络相关的API、窃取cookie和证书等。
这两款木马还能够传播到网络共享和驱动中,包括可删除驱动如USB。它们还能通过默认管理员共享和共享文件夹传播,而且能通过枚举的活动目录账户实施暴力攻击,并且能使用服务器消息块(SMB) 感染其它设备。
微软指出,虽然Windows10已经包含了多种功能保护用户免受诸如Qakbot和Emotet等恶意软件家族的公积金,但企业可部署一系列措施来缓解可能存在的感染并从网络中删除威胁。
企业可以采取的第一步措施可以是将尚未清理的受害者机器从网络中切断(可通过微软的WindowsDefender Advanced Threat Protection功能实现),并停止共享有感染迹象的文件夹。良好的凭证卫生也应该会起到作用。
第二步是锁定“计划任务(Scheduled Tasks)”文件夹并禁用自动运行,这样应该能够阻止恶意软件自动在被攻陷机器上运行。下一步就是从受感染系统中删除Qakbot和Emotet,以及其它附加的相关恶意软件。
最后,微软建议企业判断出首次感染向量并采取措施解决,并且在所有网络中的设备上启用实时防御措施来阻止未来的感染行为。设立邮件策略来阻止可能携带恶意软件的信息、保护域名凭证并教育员工相关威胁情况等措施应该也能阻止未来的感染。
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。
原文链接:
http://www.securityweek.com/qakbot-emotet-increasingly-targeting-business-users-microsoft