Glupteba 是一种特洛伊木马恶意软件,是2021 年十大恶意软件变种之一。感染系统后,Glupteba 恶意软件可用于传播其他恶意软件、窃取用户身份验证信息以及将受感染的系统注册到加密挖矿僵尸网络中。
它是如何工作的?
Glupteba 通常通过伪装成可供下载的所需软件来感染计算机。例如,一种常见的感染方法是用 Glupteba 代替免费下载的破解软件。另外,Glupteba 也通常由漏洞利用工具包部署。
一旦安装在计算机上,Glupteba 就会为攻击者提供对受感染机器的后门访问。它使用 HTTPS 协议与其命令和控制 (C2) 服务器通信,使其能够通过加密保护其 C2 数据并将其隐藏在合法的 C2 流量中。
默认情况下,恶意软件有几个与之通信的 C2 服务器。但是,它还为恶意软件提供了一种不寻常的机制,可以在主要服务器不可用时识别备份 C2 服务器。
在比特币区块链上,攻击者控制着几个不同的账户,这些账户在他们的交易中包含备份域。这些域使用 AES 256 和嵌入在 Glupteba 恶意软件二进制文件中的密钥进行加密。如果恶意软件无法到达其主要 C2 服务器,它可以检查比特币区块链的分类帐以查找其他域。
一些变体包括使用 EternalBlue 漏洞通过组织网络横向传播的能力。此漏洞曾被WannaCry使用并利用了 Microsoft SMBv1 中的漏洞。
Glupteba 恶意软件功能
Glupteba 被设计为模块化恶意软件,这意味着它可以下载和部署实现各种功能的代码。Glupteba 恶意软件使用的一些最常见的恶意功能包括:
- 恶意软件投放: Glupteba 是一种特洛伊木马,旨在获得对目标系统的初始访问权限。一旦安装在系统上,它可用于部署和执行其他恶意软件以实现攻击者的目标,例如勒索软件或信息窃取程序。
- 凭据窃取:该恶意软件从受感染的计算机收集并泄露用户凭据和 cookie。这些可用于登录用户帐户或通过使用 cookie 文件中包含的信息接管与网站的现有会话。
- 加密货币挖矿:它可以将受感染的机器注册到加密货币挖矿僵尸网络中。Cryptomining 僵尸网络使用受感染机器的计算资源在工作量证明区块链上找到有效块并为恶意软件操作员赚取奖励。
- 恶意广告:一些 Glupteba 变体会安装浏览器扩展,用于在受感染的计算机上投放恶意广告。这些广告可用于为攻击者赚钱、窃取数据或部署其他恶意功能。
Glupteba 感染的影响
作为模块化恶意软件变体,Glupteba 可以在受感染的计算机上实现各种目标。Glupteba 感染的一些最常见影响包括:
- 后续攻击: Glupteba 通常用作其他恶意软件的下载器和投放器。这意味着 Glupteba 感染可能导致勒索软件感染、数据泄露或其他安全事件。
- 帐户接管: Glupteba 恶意软件旨在从受感染的机器上窃取用户凭据和会话 cookie。此身份验证数据可用于访问用户的在线帐户或其他系统,使攻击者能够窃取敏感数据或使用这些受损帐户采取其他行动。
- 资源消耗:该恶意软件通常用于在受感染的计算机上部署加密挖矿功能。Cryptominers 通过使用它们来挖掘工作证明区块链的块来浪费计算机资源。
如何防范 Glupteba 恶意软件
Glupteba 使用各种方式感染计算机。一些有助于防止 Glupteba 感染的安全最佳实践包括:
- URL 过滤: Glupteba 通常通过恶意站点部署,因此阻止对已知不良 URL 的访问有助于保护用户免于下载 Glupteba。
- 内容过滤: Glupteba 主要通过恶意下载传播。扫描下载的恶意软件迹象有助于阻止这些攻击。
- 安全意识培训: Glupteba 通常伪装成破解软件和其他可疑下载。安全意识培训可以使用户识别并避免这些威胁。
- 漏洞修补:一些变体使用 EternalBlue 或其他漏洞在网络中传播。保持系统补丁和更新可以帮助关闭这些潜在的感染媒介。
- 端点安全: Glupteba 是一种众所周知的恶意软件变体。最新的端点安全解决方案应该在 Glupteba 感染对组织构成威胁之前识别并阻止它们。