揭秘恶意软件的罕见感染方式 信托怎么选 找你来信托网

当被问及“目标是如何感染恶意软件的？”我们的答案几乎总是一样的：（鱼叉式）网络钓鱼！当然也会有例外，因为我们会时不时地遇到远程代码执行（RCE）漏洞，或者如果攻击者已经在网络上，他们会使用PsExec之类的工具。但即便如此，大多数时候的感染途径确实是网络钓鱼。

不过，即便恶意行为者仍将电子邮件作为主要感染媒介，但也不应排除其他方法。恶意软件开发人员正在不断更新他们的传播方式。为了更好地识别和预防恶意软件攻击，接下来，我们为大家总结了一些罕见的恶意软件感染和传播路径。

Black Basta：一种新的传播方法

Black Basta是一种用C++编写的相对较新的勒索软件变体，于2023年2月首次被发现，支持命令行参数“-forcepath”，该参数只用于加密指定目录下的文件。否则，整个系统（除某些关键目录外）将被加密。

最近，Black Basta进一步发展演变，已经有了第二个可选的命令行参数：“-bomb”。当使用该参数时，恶意软件会执行以下操作:

使用LDAP库连接到AD，并获得网络上的机器列表；使用机器列表，将自己复制到每台机器；使用组件对象模型（COM），在每台机器上远程运行。

【显示LDAP功能的代码片段】

使用内置传播方法的好处是，它在系统中留下的痕迹更少，而且比使用公共工具更隐蔽。例如，攻击者最喜欢的工具之一PsExec很容易在网络上被检测到。这种新方法使网络防御者检测到恶意活动的可能性更小。

CLoader：通过恶意torrent感染

网络犯罪分子很少使用恶意torrent来感染他们的目标。然而，正如CLoader所证实的那样，这是一种不容忽视的感染方法。

CLoader于2023年4月首次被发现。它使用破解的游戏和软件作为诱饵，诱骗用户安装恶意软件。下载的文件为NSIS安装程序，安装脚本中含有恶意代码。

【恶意脚本：红色部分为恶意软件下载代码】

综合来看，该恶意软件共计下载了6种不同的有效负载:

Microleaves恶意代理：在受感染的机器上作为代理运行；Paybiz恶意代理：在受感染的机器上作为代理运行；MediaCapital下载程序：可能会在系统中安装