网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

Qakbot最初被视为银行木马，其功能已发展到包括执行侦察、横向移动、收集和泄露数据、以及交付有效负载。Qakbot也称为QBot或Pinksllot，本质上是模块化的，使恶意网络行为者能够根据自己的需要对其进行配置。Qakbot也可用于形成僵尸网络。Qakbot自2007年开始活跃，是特洛伊木马，可以通过电子邮件作为恶意附件、超链接或嵌入图像形式传递。

Remcos是一种合法的软件工具，用于远程管理和渗透测试。Remcos是Remote Control and Surveillance的缩写，在新冠疫情期间被恶意网络行为者利用进行大规模网络钓鱼活动，来窃取个人数据和凭据。Remcos在目标系统上安装后门，然后恶意网络攻击者使用Remcos后门发出命令并获得管理员权限，同时绕过防病毒产品、保持持久性、并通过将自身注入Windows进程作为合法进程运行。Remcos自2016年开始活跃，是远程访问木马（RAT），通常在钓鱼邮件中作为恶意附件传播。

TrickBot恶意软件通常用于形成僵尸网络或启用Conti勒索软件或Ryuk银行木马的初始访问权限。TrickBot由一群复杂的恶意网络行为者开发和运营，并已发展成为高度模块化的多阶段恶意软件。2020年，网络犯罪分子使用TrickBot攻击医疗保健和公共卫生部门，然后发起勒索软件攻击、泄露数据或破坏医疗保健服务。TrickBot的基础设施在2022年7月仍处于活跃状态。TrickBot自2016年开始活跃，是特洛伊木马，通常通过电子邮件作为超链接传递。

GootLoader是与GootKit恶意软件相关的恶意软件加载程序。随着其开发人员更新其功能，GootLoader已从下载恶意负载的加载程序演变为多负载恶意软件平台。作为加载程序恶意软件，GootLoader通常是系统入侵的第一阶段。通过利用搜索引擎，GootLoader的开发人员可能会破坏或创建在搜索引擎结果中排名靠前的网站，例如谷歌搜索结果。GootLoader至少自2020年开始活跃，是一款加载程序，可在搜索引擎结果排名靠前的受感染网站上下载恶意文件。

应对策略

CISA和ACSC建议关键基础设施组织采取以下缓解措施来应对潜在的网络威胁：

更新IT网络资产上的软件，包括操作系统、应用程序和固件。优先修补已知被利用的漏洞，以及允许在面向互联网的设备上远程执行代码或拒绝服务的严重和高危漏洞。

强制执行多因子身份验证，并要求使用密码登录的账户（包括服务账户）具有强密码。不允许密码跨多个账户使用，或将密码存储在攻击者可能有权访问的系统上。

对RDP或其他具有潜在风险的服务进行安全保护和密切监控。RDP攻击是勒索软件最主要的初始感染媒介之一，包括RDP在内的高风险服务可能允许使用路径上的攻击者未经授权访问会话。限制通过内部网络访问资源，尤其是通过限制RDP和使用虚拟桌面基础设施。在评估风险后，如果认为RDP是必要的，则限制原始来源，并要求MFA减少凭证盗窃和重用。如果RDP必须在外部可用，在允许RDP连接到内部设备之前使用VPN或其他方式对连接进行身份验证和保护。监控远程访问/RDP日志，在指定次数的尝试后，强制账户锁定，以阻止暴力尝试。

维护数据离线备份，物理断开连接。应经常定期进行备份程序，至少每90天一次。定期测试备份程序，并确保备份与可能导致恶意软件传播的网络连接隔离。确保备份密钥也保持离线状态，以防止在勒索软件事件中也被加密。确保所有备份数据都是加密的、不可变的，即不能更改或删除，并涵盖整个组织的数据基础设施，特别关注关键数据资产。

提供终端用户意识培训，以帮助防止成功的有针对性的社会工程和鱼叉式网络钓鱼活动。网络钓鱼是勒索软件的主要感染媒介之一。员工了解潜在的网络威胁和交付方法。员工在收到可疑网络钓鱼电子邮件或怀疑网络事件时知道该做什么以及与谁联系。

根据角色和功能进行网络分段。通过控制各种子网络之间的流量和访问，网络分段有助于防止勒索软件的传播和威胁行为者的横向移动。例如跨国公司的澳大利亚部门受到勒索软件事件的影响，也影响到其控制范围之外的离岸分部维护和托管的资产。返回搜狐，查看更多