雖然感染方式相當古老,網路犯罪分子了解使用惡意巨集也能夠達到想要的目的,甚至可以對抗複雜的防禦措施。
rovnix
惡意軟體行為
根據趨勢科技的分析,rovnix會將 rootkit 驅動程式寫入 ntfs 磁碟驅動器未分割的空間。這可以有效地隱藏該驅動程式,因為這個未分割空間不會被作業系統和安全產品所看到。
為了載入惡意驅動程式,rovnix會修改ipl的內容。修改這個程式**從而讓惡意rootkit驅動程式在作業系統前被載入。這一做法主要有兩個目的:逃避偵測,並且在windows 7及之後的版本載入未簽章過的驅動程式。
roxnix
感染鏈在此攻擊中,惡意檔案包含乙個社交工程誘餌,特製成來自微軟office的假通知來指示使用者啟用巨集設定。
(帶有惡意巨集檔案的螢幕截圖)
啟用巨集會去執行惡意巨集程式**,被偵測為w97m_dloader.ai。這個惡意巨集和之前cridex所用的不同之處在於roxnix有加上密碼保護。這讓分析此惡意軟體變得困難,因為沒有密碼或特殊工具就無法檢視或開啟巨集。
(惡意巨集rovnix需要密碼)
(該指令碼的**段)
這個惡意軟體指令碼使用簡單的字串拼接和多個變數替換,企圖混淆程式**以躲避防毒偵測。當巨集被執行,會植入三個不同型別的隱藏指令碼,包括乙個windows powershell指令碼。這策略意味著網路犯罪分子會去針對windows7,開始預設安裝了windows powershell。
(w97m_dloader.ai植入的檔案)
根據趨勢科技主動式雲端截毒服務 的反饋資料,德國出現了最多使用者有著受感染系統。
(2023年11月6日到2023年11月18日最受影響的國家)
結論
rovnix對使用者和企業都會造成危險,因為除了其後門能力外,它還可以竊取密碼和記錄按鍵資訊。這種攻擊可能被用在資料入侵外洩上,因為資料竊取是其主要行為。此外,這攻擊突顯出有更多惡意軟體可能會去利用巨集檔案來濫用powershell以散播其惡意軟體。不過要注意的是,在此次攻擊中,powershell功能並未被濫用。
使用者可以輕易地將其巨集設定設到最大安全性以保護其系統。如果檢視檔案需要用到這功能,請確保檔案來自可信任的**。趨勢科技通過主動式雲端截毒技術來偵測惡意檔案以保護使用者免受此威脅。
92c090aa5487e188e0ab722a41cba4d2974c889d
4c5c0b3dccbfbdc1640b2678a3333e8c9ef239c5
PHP開發 密碼保護
密碼保護三原則 絕對不能知道使用者的密碼 我們絕對不能知道使用者的密碼,也不能有獲取使用者密碼的方式,如果應用的資料庫被黑,你肯定不希望資料庫中有純文字或能解密的密碼。任何時候,知道的越少越安全。絕對不要約束使用者的密碼 如果要求密碼符合特定的模式,其實是為不懷好意的人提供了攻擊應用的途徑,如果必須...
密碼保護資料夾
將.htaccess檔案放在您要保護的目錄中 authtype basic authname this area is password protected authuserfile full path to htpasswd require valid user理想情況下,htpasswd檔案將不...
CAD如何設定密碼保護
常用cad繪圖,卻不想別人開啟你的cad圖紙,其實只要設定密碼保護就好了,這樣別人開啟的時候就需要輸入密碼,如果沒密碼那自然就沒有辦法了 開啟相關圖紙,輸入 op 快捷鍵,按空格鍵,這時候開啟了 選項 視窗 點選 選項 視窗上方的 開啟和儲存 點選下方的 安全選項 這時候在跳出的 安全選項 視窗中就...