数据结构
网络
关系数据库管理系统
操作系统
Java
MS Excel
iOS
HTML
CSS
Android
Python
C 编程
C++
C#
MongoDB
MySQL
Javascript
PHP
物理学
化学
生物学
数学
英语
经济学
心理学
社会学
服装设计
法律研究什么是 SquirrelWaffle 恶意软件?
SquirrelWaffle 是一种新的恶意软件家族,有可能成为一个重大的商业破坏因素。一旦 SquirrelWaffle 渗透到网络生态系统中,它就可以被用来造成重大损害。SquirrelWaffle 有时被用作其他恶意软件感染的交付系统,例如 Qakbot 和 Cobalt Strike。
SquirrelWaffle 恶意软件:它是什么?
SquirrelWaffle 是一种新的恶意软件加载器,它通过 **恶意垃圾邮件**(恶意垃圾邮件)传播,目的是将设备感染上第二阶段的恶意软件,例如 Cobalt Strike(一种用于红队测试的工具的破解版本)和 QakBot(一种著名的恶意软件,最初只是一个简单的银行木马,但后来发展成为一个具有 RAT(远程访问木马)功能的多功能框架)。
根据研究人员的说法,感染链可能始于电子邮件回复链攻击,在这种攻击中,威胁行为者既不将自己插入为新的通信者,也不试图伪造其他人的电子邮件帐户。相反,攻击者使用属于参与者之一的受感染帐户发送欺诈性的 SquirrelWaffle 电子邮件。
由于攻击者可以访问整个邮件线程,因此他们可以调整其恶意垃圾邮件消息以适合现有对话的上下文。由于收件人很可能相信发件人,因此目标打开恶意文档或点击链接的可能性更高。Emotet 活动以其电子邮件回复链攻击而闻名,这极大地促成了它们的成功。
SquirrelWaffle 最初出现在 9 月初,从那时起,防御者注意到患病案例有所增加。根据 SentinelLabs 研究人员的说法,即使来自相同的感染链,该病毒也会投放独特的有效负载,并且文件路径模式正在发展。
SquirrelWaffle 如何传播?
SquirrelWaffle(也称为加载程序恶意软件)的开发人员竭尽全力将其隐藏起来,使其难以研究。
SquirrelWaffle 主要通过垃圾邮件中的 Microsoft Office 文档附件传播。
当受害者打开包含恶意 Office 文档的 ZIP 文件时,感染媒介开始。SquirrelWaffle DLL 通过该文件中的 VBA 宏下载,随后传播 Cobalt Strike,这是一种额外的攻击媒介。
攻击者可能会利用 DocuSign 签名平台作为诱饵,诱骗收件人允许其 Microsoft Office 套件中的宏。
为什么它很重要?
SquirrelWaffle 出现在著名的 Emotet botnet 被执法部门关闭之后。一些学者认为,SquirrelWaffle 可能是 Emotet 的重新启动,由躲避警方、国际刑警组织和其他当局的人员运营。
由于 SquirrelWaffle 的持续传播,专家建议技术管理员分析此恶意软件操作中使用的 TTP。
散列值 (SHA256) 和域是与此活动相关的两个入侵指标。
避免恶意软件攻击的技巧
以下五种方法可以帮助您防止 SquirrelWaffle 和其他潜在的恶意软件威胁 -
避免来自未知来源的附件
抵御任何类型的恶意软件的第一道防线是避免打开看起来可疑的附件。
大多数目标明确的恶意软件(例如网络钓鱼尝试)具有欺骗性,检测它们可能需要大量的技术知识。网络钓鱼是一种诈骗类型,人们会被诱骗点击链接或接收看似来自可信来源的电子邮件。当受害者点击链接时,它可能会将他们带到一个虚假网站,提示他们提交个人信息,或者将他们带到一个直接用恶意软件感染其设备的网站。
因此,在打开附件时要小心,除非您确定其来源,否则避免点击它们。
安装良好的防病毒软件
投资防病毒软件和端点保护对于防止恶意软件攻击至关重要。使用某些防病毒软件可以检测和阻止恶意恶意软件。
这些工具还可以用于观察被入侵的设备,并在用户访问潜在危险的网站时发出警报。大多数防病毒软件现在都包含自动更新,以增强对新开发的病毒的防护能力。
注意入侵指标
在某些情况下,防病毒软件可能无法识别恶意软件,或者恶意软件可能具有创新性和欺骗性,例如 SquirrelWaffle 的情况。如果您发现自己处于这种情况,则必须注意入侵指标 (IoC)。
IoC 是表明您的设备已感染恶意软件的指标。例如,您可能会在设备上观察到异常行为,例如地理差异、数据库读取次数增加或网络上的身份验证尝试次数增加。
定期更新您的软件
发布更新是为了解决安全问题、修补软件缺陷、消除旧版和过时系统中的漏洞、改进硬件操作功能以及提供对新型设备类型的兼容性。
因此,除了安装防病毒软件外,还应定期更新软件。这样,黑客将无法访问您的计算机并用恶意软件感染它。
避免来自未知来源的免费应用程序
从信誉良好的来源购买和下载软件可以最大程度地降低恶意软件感染的风险。由于他们不想损害自己的声誉,因此信誉良好的品牌会采取额外的预防措施,以确保不会分发感染了恶意软件的程序。此外,付费应用程序版本通常比其免费版本更安全。
289 次查看
