数据结构
网络
RDBMS
操作系统
Java
MS Excel
iOS
HTML
CSS
Android
Python
C 编程
C++
C#
MongoDB
MySQL
Javascript
PHP
物理学
化学
生物学
数学
英语
经济学
心理学
社会学
时尚研究
法律研究什么是 Kovter 恶意软件?
Kovter 恶意软件
Kovter 是一种不可见的恶意软件,不会在您的计算机上留下任何文件。它旨在攻击 Windows 计算机。它通过主要将配置数据存储在计算机的注册表中来避免检测,从而绕过标准的端点文件检查。Kovter 还通过从基于特洛伊木马的勒索软件(诱骗受害者认为他们因“非法”互联网行为而被当局罚款)转变为点击欺诈病毒,最终转变为无文件勒索软件,从而保持强大。由于这些特性,Kovter 近年来一直是互联网安全中心最广泛传播的恶意软件列表中的常客。
Kovter 广告欺诈病毒已用于各种创意方案,从利用社会工程技术到绕过恶意软件沙箱系统。我们发现了并研究了 KovCoreG 组织发起的大规模恶意广告活动,该组织以分发 Kovter 广告欺诈恶意软件以及位于分发 Kovter 的更广泛联盟计划的顶端而闻名。此攻击链在一年多的时间里使美国、加拿大、英国和澳大利亚的数百万人面临潜在风险,利用伪造浏览器更新方法的细微变化,该方法适用于所有三个主要的 Windows 网络浏览器。
Kovter 木马设计精巧,并采用了有史以来发现的最强大的代码库之一。Kovter 从 Poweliks 恶意软件家族窃取了无文件持久性方法,该家族被广泛认为是当今市场上最危险的恶意软件家族之一。它可以在不实际将 Windows 二进制文件写入文件系统的情况下实现持久性。这意味着,根据类型,病毒不需要接触磁盘。Kovter 将自身注入“regsvr32.exe”以保持内存驻留。此注入的恶意软件跟踪其许多组件以确保在每次系统启动时都将其重新注入到 regsvr32.exe 中,从而始终使用户受到感染。
通过网络钓鱼电子邮件作为附件提供的垃圾邮件是 Kovter 的主要攻击媒介之一。间谍软件在被点击后进入注册表。然后,它通过使用注册表项和 PowerShell 可执行文件来获得持久性,然后以无文件且未被检测到的方式释放自身。
Kovter 的发现
Kovter 最初是针对执法部门的勒索软件。它试图以与其他勒索软件相同的方式,但以一种新颖的方式,从受害者那里勒索钱财。它通过显示伪造的消息(伪装成真实的执法机构的“罚款”付款通知)来锁定受害者的文件。
然而,该病毒在发现时并没有有效的代码,因为它需要正确的条件组合才能正常工作,并且很容易被识别和卸载。
Kovter 的演变
下一个 Kovter 变体是一个点击欺诈病毒,它与之前的版本大不相同。在此版本中,Kovter 利用代码注入来感染受害者。因此,它从受感染的机器中获取数据并将其转发到恶意软件的命令和控制站点。
后来,在 2015 年,Kovter 修改了其功能,演变成一种无文件病毒,它使用自动运行注册表项来执行此操作。在 2016 年,它获得了一些新功能,包括能够通过 shell 生成方法读取恶意注册表项的功能。
2016 年 7 月下旬,检测到 Kovter 正在传播,并与恶意的 Google Chrome 和 Mozilla Firefox 升级相结合。研究人员在 2016 年 10 月发现了 Kovter 的一种新形式,该形式可能仅基于宏启用而绕过安全沙箱。它作为宏到达后,通过受感染文档中的基于点击的激活进行激活,并在野外停留了更长的时间。
据 Threatpost 报道,臭名昭著的 Locky 勒索软件在 2017 年 1 月将 Kovter 下载到受害者的设备中。在此示例中,即使受害者向 Locky 的创建者支付了赎金,Kovter 仍保留在受感染的机器中。威胁参与者利用 Nemucod 恶意软件通过网络钓鱼攻击在 2017 年 4 月将 Kovter 传输给受害者。从那时起,已观察到许多威胁参与者以各种方式使用 Kovter。
如何防御 Kovter 对公司的威胁
以下是一些您可以采取的预防措施,以保护您的公司免受 Kovter 的侵害。
注意以下危险信号:无文件恶意软件难以检测;但是,由于 Kovter 使用 PowerShell,因此查找意外的 PowerShell 通知并在任务管理器中监视 mshta.exe 和 powershell.exe 等进程可能会有所帮助。
教育同事了解正确的安全卫生习惯,例如验证发件人的电子邮件 ID、避免自动下载文件以及向支持人员报告包含危险或诱饵的电子邮件。
不要掉以轻心:确保您的防火墙、反垃圾邮件过滤器和防病毒程序等保持最新且功能强大。如果在任何情况下都可行,请采取措施对电子邮件进行沙箱处理以最大程度地减少影响。还要检查您是否已实施网络安全措施,尤其是在 OneDrive 或团队站点等共享文档存储库周围,因为单个薄弱环节可能会在整个公司中传播恶意软件。
为了确保在恶意软件攻击事件中实现顺利的业务连续性和灾难恢复,请确保您拥有宝贵数据的准确、最新的副本。所有这一切只有在有可靠的备份和恢复解决方案的情况下才能实现。
449 次查看
