标签: VirusTotal

VirusTotal 揭露恶意软件攻击中的假冒软件

Hackernews 编译,转载请注明出处: 越来越多黑客模拟Skype、Adobe Reader和VLC Player等合法应用程序,以此作为滥用信任关系的手段,并增加社会工程攻击成功的可能性。 VirusTotal的分析显示,其他被模拟最多的合法应用程序包括7-Zip,TeamViewer,CCleaner,Microsoft Edge,Steam,Zoom和WhatsApp。 黑客通过欺骗不知情的用户下载和运行看似无害的可执行文件,从而采取各种方法来损害端点,这并不奇怪。 这主要是通过利用真实域来实现的,以绕过基于IP的防火墙防御。一些被滥用的顶级域名是discordapp[.]com、squarespace[.]com、amazonaws[.]com、mediafire[.]com和qq[.]com。 Alexa排名前1000的网站共有101个域名,其中至少有250万个可疑文件被检测到。 另一种常用的技术是,用从其他软件制造商那里窃取的有效证书对恶意软件进行签名。该恶意软件扫描服务表示,自2021年1月以来,它发现了100多万个恶意样本,其中87%在首次上传到其数据库时具有合法签名。 VirusTotal表示,自2020年1月以来,它还发现了1816个样本,这些样本伪装成合法软件,将恶意软件打包到其他流行软件的安装程序中,如Google Chrome、Malwarebytes、Zoom、Brave、Mozilla Firefox和Proton VPN。 当黑客设法侵入合法软件的更新服务器或未经授权访问源代码时,这种分发方法还可能导致供应链攻击,从而以特洛伊木马二进制文件的形式潜入恶意软件。 或者,合法的安装程序与恶意软件一起打包在压缩文件中,其中包括合法的Proton VPN安装程序和安装Jigsaw勒索软件的恶意软件。 第三种方法虽然更复杂,但需要将合法安装程序作为可移植的可执行资源合并到恶意样本中,以便在恶意软件运行时也执行安装程序,从而产生软件按预期工作的假象。 研究人员说:“当把这些技术作为一个整体考虑时,可以得出结论,攻击者在短期和中期滥用(如被盗证书)既有机会主义因素,也有常规(最有可能)自动化程序,攻击者旨在以不同的方式直观复制应用程序。”   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

Google 委托 VirusTotal 分析 8000 万个勒索软件样本 以下是一些细节

Google发布了一份新的勒索软件报告,以色列是在此期间最大的样本提交者。这家科技巨头委托网络安全公司VirusTotal进行分析,这需要审查来自140个国家的8000万个勒索软件样本。根据该报告,以色列、韩国、越南、新加坡、印度、哈萨克斯坦、菲律宾、伊朗和英国等国家是根据VirusTotal审查的提交数量确定的10个最受影响的地区。 从2020年开始,勒索软件活动在2020年的前两个季度达到高峰,VirusTotal认为这是因为勒索软件即服务组织GandCrab的活动。 “GandCrab在2020年第一季度有令人担忧的高峰,之后急剧下降,但它仍然活跃,但就新鲜样本的数量而言,处于不同的数量级,”VirusTotal说。 2021年7月还有一个相当大的高峰,是由Babuk勒索软件团伙推动的,这是一个在2021年初发起的勒索软件行动。Babuk的勒索软件攻击通常具有三个不同的阶段。初始访问,网络传播,以及对目标采取行动。 GandCrab是自2020年初以来最活跃的勒索软件团伙,占样本的78.5%。GandCrab之后是Babuk和Cerber,它们分别占样本的7.6%和3.1%。 根据该报告,检测到的95%的勒索软件文件是基于Windows的可执行文件或动态链接库(DLLs),2%是基于Android的。该报告还发现,基于漏洞的勒索软件攻击只占样本的一小部分:5%。 VirusTotal说:”鉴于勒索软件样本通常使用社会工程和/或droppers(旨在安装恶意软件的小程序)来部署,我们认为这是有道理的。就勒索软件的传播而言,除了特权升级和恶意软件在内部网络中传播外,攻击者似乎不需要利用特定的漏洞。” 阅读报告全文: https://storage.googleapis.com/vtpublic/vt-ransomware-report-2021.pdf   (消息及封面来源:cnBeta)