資料結構
網路
RDBMS
作業系統
Java
MS Excel
iOS
HTML
CSS
Android
Python
C 程式設計
C++
C#
MongoDB
MySQL
Javascript
PHP
物理學
化學
生物學
數學
英語
經濟學
心理學
社會學
時尚研究
法律研究什麼是 Kovter 惡意軟體?
Kovter 惡意軟體
Kovter 是一種不可見的惡意軟體,不會在您的計算機上留下任何檔案。它旨在攻擊 Windows 計算機。它透過主要將配置資料儲存在計算機的登錄檔中來避免檢測,從而繞過標準的端點檔案檢查。Kovter 還透過從基於特洛伊木馬的勒索軟體(誘騙受害者認為他們因“非法”網際網路行為而被當局罰款)轉變為點選欺詐病毒,最終轉變為無檔案勒索軟體,從而保持強大。由於這些特性,Kovter 近年來一直是網際網路安全中心最廣泛傳播的惡意軟體列表中的常客。
Kovter 廣告欺詐病毒已用於各種創意方案,從利用社會工程技術到繞過惡意軟體沙箱系統。我們發現了並研究了 KovCoreG 組織發起的大規模惡意廣告活動,該組織以分發 Kovter 廣告欺詐惡意軟體以及位於分發 Kovter 的更廣泛聯盟計劃的頂端而聞名。此攻擊鏈在一年多的時間裡使美國、加拿大、英國和澳大利亞的數百萬人面臨潛在風險,利用偽造瀏覽器更新方法的細微變化,該方法適用於所有三個主要的 Windows 網路瀏覽器。
Kovter 木馬設計精巧,並採用了有史以來發現的最強大的程式碼庫之一。Kovter 從 Poweliks 惡意軟體家族竊取了無檔案永續性方法,該家族被廣泛認為是當今市場上最危險的惡意軟體家族之一。它可以在不實際將 Windows 二進位制檔案寫入檔案系統的情況下實現永續性。這意味著,根據型別,病毒不需要接觸磁碟。Kovter 將自身注入“regsvr32.exe”以保持記憶體駐留。此注入的惡意軟體跟蹤其許多元件以確保在每次系統啟動時都將其重新注入到 regsvr32.exe 中,從而始終使使用者受到感染。
透過網路釣魚電子郵件作為附件提供的垃圾郵件是 Kovter 的主要攻擊媒介之一。間諜軟體在被點選後進入登錄檔。然後,它透過使用登錄檔項和 PowerShell 可執行檔案來獲得永續性,然後以無檔案且未被檢測到的方式釋放自身。
Kovter 的發現
Kovter 最初是針對執法部門的勒索軟體。它試圖以與其他勒索軟體相同的方式,但以一種新穎的方式,從受害者那裡勒索錢財。它透過顯示偽造的訊息(偽裝成真實的執法機構的“罰款”付款通知)來鎖定受害者的檔案。
然而,該病毒在發現時並沒有有效的程式碼,因為它需要正確的條件組合才能正常工作,並且很容易被識別和解除安裝。
Kovter 的演變
下一個 Kovter 變體是一個點選欺詐病毒,它與之前的版本大不相同。在此版本中,Kovter 利用程式碼注入來感染受害者。因此,它從受感染的機器中獲取資料並將其轉發到惡意軟體的命令和控制站點。
後來,在 2015 年,Kovter 修改了其功能,演變成一種無檔案病毒,它使用自動執行登錄檔項來執行此操作。在 2016 年,它獲得了一些新功能,包括能夠透過 shell 生成方法讀取惡意登錄檔項的功能。
2016 年 7 月下旬,檢測到 Kovter 正在傳播,並與惡意的 Google Chrome 和 Mozilla Firefox 升級相結合。研究人員在 2016 年 10 月發現了 Kovter 的一種新形式,該形式可能僅基於宏啟用而繞過安全沙箱。它作為宏到達後,透過受感染文件中的基於點選的啟用進行啟用,並在野外停留了更長的時間。
據 Threatpost 報道,臭名昭著的 Locky 勒索軟體在 2017 年 1 月將 Kovter 下載到受害者的裝置中。在此示例中,即使受害者向 Locky 的建立者支付了贖金,Kovter 仍保留在受感染的機器中。威脅參與者利用 Nemucod 惡意軟體透過網路釣魚攻擊在 2017 年 4 月將 Kovter 傳輸給受害者。從那時起,已觀察到許多威脅參與者以各種方式使用 Kovter。
如何防禦 Kovter 對公司的威脅
以下是一些您可以採取的預防措施,以保護您的公司免受 Kovter 的侵害。
注意以下危險訊號:無檔案惡意軟體難以檢測;但是,由於 Kovter 使用 PowerShell,因此查詢意外的 PowerShell 通知並在任務管理器中監視 mshta.exe 和 powershell.exe 等程序可能會有所幫助。
教育同事瞭解正確的安全衛生習慣,例如驗證發件人的電子郵件 ID、避免自動下載檔案以及向支援人員報告包含危險或誘餌的電子郵件。
不要掉以輕心:確保您的防火牆、反垃圾郵件過濾器和防病毒程式等保持最新且功能強大。如果在任何情況下都可行,請採取措施對電子郵件進行沙箱處理以最大程度地減少影響。還要檢查您是否已實施網路安全措施,尤其是在 OneDrive 或團隊站點等共享文件儲存庫周圍,因為單個薄弱環節可能會在整個公司中傳播惡意軟體。
為了確保在惡意軟體攻擊事件中實現順利的業務連續性和災難恢復,請確保您擁有寶貴資料的準確、最新的副本。所有這一切只有在有可靠的備份和恢復解決方案的情況下才能實現。
449 次檢視
