宏病毒的产生方式:恶意软件熔炉

Anonim
Mittlerweile sind im Internet Bausätze für das Zusammensetzen von Makroviren erhältlich.
同时,Internet上提供了用于组装宏病毒的工具包。
照片:fotogestoeber-Shutterstock

德国工业公司反复受到网络攻击的影响。 直到10月中旬,继电器和传感器制造商才关闭了一个多星期。 受影响的是PC工作站,订购系统以及全球所有76个地点的所有通信。 作为感染的原因,可以识别“ BitPaymer”-勒索软件。

欧盟网络安全局(ENISA)已经在2019年初发布了一份关于网络犯罪嫌疑人合作的报告。 对各种恶意软件家族的分析表明,其作者正在交流知识。 在恶意软件类型“ Dridex”,“ Emotet”和“ BitPaymer”中发现了明显的相似之处。 仅“ Dridex”和“ Emotet”就是针对网上银行登录信息的银行木马。

大多数类型的恶意软件(例如Dridex)都总结了许多有害的例程和技术。 通过这些手段,攻击者可以监视受感染的计算机,并通过僵尸网络提取由此获得的信息。 其他程序行可以防止检测到已安装的恶意代码。 “ Dridex”的核心元素是宏病毒。 作为宏病毒,分配路径在很大程度上是预定的。 反复受到宏病毒影响的最著名的应用程序是“ Microsoft Word”。

spoods.de

共享受感染的文档可以相对较快地传播恶意软件。 一种典型的方法是通过电子邮件附件。 另一种常见的技术是发送超链接以从Internet下载受感染的HTML文档。 攻击工具也是“ Excel”表,Internet上带有PDF文档,zip文件或JavaScript代码的“ Adob​​e Reader”。 通常,缺陷文件还隐藏在伪造的文件扩展名之后,例如图像格式JPEG。 一旦使用户激活宏,恶意负载就会在计算机上实现。

宏语言

许多宏病毒都基于Visual Basic脚本(VBS)宏语言。 VBS是Visual Basic for Applications(VBA)的简单变体。 该脚本与操作系统Microsoft Windows 98和Internet Explorer 5.0的Windows脚本宿主(WSH)一起引入。 当今的“ Microsoft”操作系统(例如Windows 7、8或Windows 10)继续支持该框架。

最初,受感染计算机上安装的恶意软件充当“滴管”,可用于上载,下载或运行任何类型的软件。 在受攻击的银行客户的本地计算机中,可以通过键盘记录器记录在线银行的登录信息。

显示

勒索软件的新趋势

Neue Trends bei Ransomware - Foto: Lagarto Film - shutterstock.com

该网络广播概述了网络罪犯计划在将来针对勒索软件采取的措施。

立即免费注册!

该信息通过僵尸网络传递到攻击者的命令和控制服务器(C&C)。 这可能包括新EU指令PSD2下2要素认证的所有数据。 或在网络浏览器上的图片和视频的屏幕截图。 作为通过僵尸网络引入的其他恶意软件,ENSIA的名称例如为“ Locky”和“ BitPaymer”。 两者都是勒索软件。 对于勒索软件,攻击者承诺赔偿勒索后所造成的损害。 损坏是受攻击的计算机系统上定期加密的文件,由僵尸网络控制。

恶意软件市场

在宣布ENISA之后,程序员离该恶意软件越来越近。 但是,无论是受攻击者,私人企业还是公司,其IT行为都越来越相似。 少数硬件,软件和社交媒体平台和网络的主导地位一直没有减弱。 企业和个人使用相同的例程。 一个典型的例子就是通常的电子邮件与系统中具有宏功能的文档的对应关系。

在没有太多编程知识的情况下,宏也应该能够在文档上打孔。 为此,宏语言变得越来越统一。 单一宏语言应在尽可能多的应用程序上可用。 对于精心设计的程序来说,这是非常有用的开发。 另一方面,它也有利于病毒在许多不同应用程序之间的迁移。

为了更好地理解,宏语言使用了多种本国语言的说明。 但是,借助此功能,可以将宏病毒定制为特定于语言的特定区域。 较新版本的宏语言还提供独立于语言或自动翻译宏语句的选项。 这些简化对好的和恶意的程序员都有帮助。

为了进一步简化这种情况,Internet上提供了用于组装宏病毒的工具包。 对于此类市场,Darknet提供了一个很好的论坛。 Darknet包含Internet上的加密部分。 这样就形成了网络区域,这些网络区域保证可以使用适当的Web浏览器进行匿名浏览。 这也可能包括非法活动。

任何人都可以对自制的计算机病毒在反病毒程序中的隐藏程度有自己的了解。 用“ VirusTotal”,“ Google”在线免费门户。 有兴趣的各方可以在此处上传文件,并通过70多种防病毒程序和恶意软件扫描程序进行分析。 有证据表明,恶意软件农夫认真使用了此工具。

现在应该看一下有关“ Dridex”演员的已知信息。 这是环游世界的开始。

案件

2016年2月,对孟加拉国中央银行的网络突袭成为头条新闻。 最终,1.01亿美元从该银行在纽约的帐户中消失了,流入斯里兰卡和菲律宾。 调查人员怀疑以“ Dridex”登录名被盗是错误转移的起点。 为了寻找作者,美国的联邦检察官还对朝鲜进行了调查。 此外,据说中国的中间人在汇款方面提供了帮助。

同样,跨国公司在2014年开始与Dridex的前身“ Bugat”一起流行。在某些方面,由此产生的刑事案件也非常可观。 这种流行病常常开创了电子邮件附件的先河。 语音偏好设置和网络浏览器触发的弹出窗口针对美国和英国的冲浪者。

2015年8月,该病毒剥离器在塞浦路斯度假时被捕。 摩尔达维亚公民,又名Smilex,二十多岁,是一家加油站公司的共同所有人。 2016年2月,他被送往美国。 联邦调查局和英国的执法人员在网络调查中还不很普遍,在这里进行了密切合作。 最终,在2018年12月,被告在美国联邦法院被判有罪。 法官们认为,通过僵尸网络手段证实了阴谋和计算机损坏的事实。 与检察官达成协议后,被定罪的人被直接驱逐出监狱。 刑罚由U-Haft解决。 无论如何,惩罚可能会更高。

在此过程中,调查机构可能希望避免暴露过多的调查方法。 无论如何,2017年初在华盛顿州就是这样,那里因使用色情制品而被指控收费。 为了维持诉讼,调查人员必须在Darknet Tor网络中透露用于收集针对被告的证据的技术。

崔波诺

ENISA报告的恶意软件农民协作将具有一些优势。 设计人员的不同能力可以得到最佳利用。 部署时间缩短。 对等方的同行评审可以帮助减少或消除编码错误。 协作提高了效率。

现有工具可用于构建功能强大的现成软件包。 精简程序也更容易错过发现。 因此,相同的驱动力正在协同工作,这也驱动着跨国公司或学术界的工程师。 仅仅假设这些恶意软件论坛也不负责相关的情报服务(即使有时不是由这些情报服务负责),这是天真的。

爱德华·斯诺登的启示使这些假设变得很合理。 这些迹象表明,NSA渗透了Tor网络并收集了各种计算机制造商的漏洞。 因此,恶意软件论坛变成了一个讲习班,计算机爱好者,黑手党成员和各种各样的情报人员在这里匿名,和平地合作。 在任何情况下,“ Dridex”的建造者之间都存在一定程度的严肃性。 根据“赛门铁克”公司安全研究人员的发现,该小组在许多方面与普通公司的惯例相似。 例如,工作周是星期一至星期五,正常办公时间。 圣诞节是免费的。

在西方经济中,电子汇款起着重要作用。 通过个人伪造交易,个人可以使自己充实。 这样的动机,就像人类一样古老。 但是,大量假冒汇款会严重损害整个经济体系的整个支付系统。

对金融部门甚至本国货币失去信心将加剧金融损失。 甚至国际金融体系也可能不稳定。 毫无疑问,这种攻击可能是军事行动的序曲或伴奏。 在这里,秘密服务再次发挥作用。