Burntcigar 惡意軟件與勒索軟件協同工作
Burntcigar 是一種惡意軟件工具,經常被網絡犯罪分子用於勒索軟件攻擊,特別是與古巴勒索軟件變種結合使用。 Burntcigar 積極尋找似乎與廣泛認可的防病毒 (AV) 或端點檢測和響應 (EDR) 軟件相關的進程名稱。隨後,它將這些已識別進程的相應進程 ID 合併到隊列中,以便在其操作的後期階段終止。
網絡犯罪分子經常部署這種惡意軟件,其具體目標是執行勒索軟件攻擊,特別強調滲透毫無戒心的受害者的計算環境。
Burntcigar 展示了一種巧妙的操作模式,其中包括利用成熟的防病毒和端點檢測和響應 (EDR) 產品中發現的漏洞。其值得注意的策略之一是故意針對與這些安全解決方案相關的進程,然後將其進程 ID 添加到終止列表中。這一戰略舉措最終導致受感染機器上的重要安全措施失效。
此外,Burntcigar 因其通過利用設備驅動程序和執行惡意代碼來損害計算機系統完整性的能力而聞名。在特定情況下,我們發現有人利用 Avast 反 rootkit 驅動程序的漏洞,從而允許對目標系統進行未經授權的訪問。
除了這些漏洞之外,該惡意軟件還利用 BAT(批處理)文件作為安裝不安全驅動程序的手段,從而為網絡攻擊者精心策劃的惡意活動創建了入口點。遭遇 Burntcigar 或類似惡意軟件菌株所產生的潛在後果是巨大的,並可能導致深遠的影響。
首先,受害者可能會經歷大量數據丟失,因為惡意軟件會對文件進行加密,導致沒有解密密鑰就無法訪問它們。此外,還存在巨大的財務損失風險,因為攻擊者經常要求贖金以換取解密密鑰。這反過來又刺激了網絡犯罪分子,並進一步放大了相關風險。
惡意軟件如何規避防病毒解決方案?
惡意軟件開發人員不斷調整和採用各種技術來逃避防病毒解決方案的檢測。雖然防病毒軟件旨在檢測和刪除惡意軟件,但它並非萬無一失。惡意軟件可以通過以下幾種方式繞過防病毒解決方案:
多態代碼:惡意軟件可以使用多態代碼,每次感染新系統時都會改變其外觀。這使得防病毒軟件很難識別惡意軟件的簽名或行為模式。
加密:惡意軟件可以對其代碼或通信進行加密,使其顯示為無害的數據。它僅在執行時才會自行解密,從而使防病毒程序難以檢查有效負載。
代碼混淆:惡意軟件作者可以混淆他們的代碼,使其變得更加複雜和難以分析。這可能包括使用打包或混淆技術來掩蓋惡意軟件的真實意圖。
無文件惡意軟件:無文件惡意軟件在內存中運行,不會在文件系統上留下足跡,這對依賴文件掃描的防病毒軟件來說是一個挑戰。
零日漏洞:惡意軟件可以利用防病毒供應商尚不知道的軟件或操作系統中的漏洞。這些零日漏洞允許惡意軟件在安全更新或補丁可用之前感染系統。
Rootkit 技術: Rootkit 可以通過改變系統級功能和 API 來隱藏惡意軟件,使防病毒軟件難以檢測或刪除它們。
動態加載:惡意軟件可以動態地將惡意代碼加載到合法進程中,使合法進程在執行惡意操作時看起來好像表現正常。
