九游老哥

English

清静产品与计划
行业解决计划
清静服务与运营
清静研究
相助同伴
手艺支持

基础设施清静
数据清静
云盘算清静
工业互联网清静
物联网清静
信息手艺应用立异
所有产品
所有解决计划

基础设施清静

网络清静

清静治理

应用清静

终端清静

身份与会见治理

解决计划

CH

EN

清静产品与计划

基础设施清静网络清静清静治理应用清静终端清静身份与会见治理解决计划数据清静数据清静产品解决计划云盘算清静云盘算清静产品解决计划工业互联网清静工业互联网清静产品解决计划物联网清静物联网清静产品解决计划信息手艺应用立异信创类清静产品
行业解决计划

政府运营商金融能源交通企业科教文卫
清静服务与运营

基础服务清静咨询清静测试清静运维应急响应清静开发场景服务红蓝对抗重保支持数据清静服务DSS 勒索评估服务RPG 企业清静运营中心建设SOC 蓝军一体化平台NICP 自动化渗透测试工具EZ 清静运营服务九游老哥网站清静监测服务Websafe 九游老哥黑洞云洗濯服务 CCSS 九游老哥网站云防护服务 WCP 九游老哥威胁情报中心NTI 九游老哥科技威胁情报云端解决计划九游老哥科技威胁情报外地解决计划九游老哥威胁检测与响应服务MDR 九游老哥外部攻击面治理服务EASM 九游老哥轻量化渗透测试服务PTaaS 智慧都会清静运营智慧都会清静运营九游老哥云九游老哥云
清静研究

八大实验室星云实验室格物实验室伏影实验室天机实验室天枢实验室天元实验室平行实验室威胁情报实验室研究领域研究领域研究报告研究报告 2024年度报告清静通告威胁通告
相助同伴

相助同伴相助同伴动态成为相助同伴申请成为相助同伴
手艺支持

服务支持服务热线盟管家服务维保服务产品支持产品清静产品手册常见问题产品生命周期通告软件升级北京九游老哥公益基金会鲲鹏基金产品清静软件升级

返回列表

偷取用户信息，举行双重勒索，揭秘垂纶软件在疫情时代的生财之道

2021-04-08

摘要：垂纶邮件是Windows平台上主要入侵手段之一，而新冠疫情的爆发更是为其提供了绝佳的热门。新冠疫情以来，各黑产组织使用这一时机，以疫情话题作为诱饵释放垂纶邮件。一时间，各路牛鬼神蛇并起，大宗僵尸网络家族肆虐。本文主要内容摘自九游老哥科技宣布的《2020 BOTNET趋势报告》，揭底部分具有代表性古板和新兴邮件木马家族的设局套路与盈利模式。

古板银行木马依旧活跃

垂纶邮件在2020年的漫溢，助推了Emotet和Trickbot两大古板银行木马家族继续坚持活跃。

伏影实验室经由抽样统计发明，凌驾50%的垂纶邮件最终投递了Emotet木马。这些邮件的诱饵话题很是普遍，其文体包括账单、罚单、请帖、通告和人为单等，内容包括信息确认、商务交流、广告宣传和新冠疫情等。在第三季度后，Emotet更是加大了使用疫情作为诱饵话题的力度。

邮箱内容和地点是银行木马窃取的主要内容，但随着种种数据泄露事务频发，再加上种种新兴特工软件的分羹，使得这些信息泉源变得多样化，促使Emotet这样的主流银行木马转变生长模式，最先与其他银行木马及其他类型家族相勾通，以最洪流平地攫取利益。例如，Emotet已成为Trickbot家族较为稳固的撒播渠道之一。伏影实验室通过统计发明，两者之间的形式化关联是云云亲近，以至于能反应出Emotet在2020年第二季度陷入悄然期的情形，并为解读两者间的关系提供了入口。

Trickbot在2020年新冠疫情时代异�；钤�，其撒播渠道除了邮件以及“借路”Emotet外，还包括了其他银行木马与恶意加载器。这些家族又可以通过邮件举行投递，形成了多级攻击链。别的，Trickbot�？榛恢备�，将一些功效集成或单独拎出，并生长出针对Windows域治理器的无文件攻击方法。Trickbot还实现了Linux平台组件，使用Linux作为跳板来熏染Windows主机，一直探索攻击模式。

更有甚者，Emotet和Trickbot一经联手下发勒索软件，且Trickbot又与Ryuk勒索软件联手，对网络清静造成了重大威胁。

双重勒索为“王”

恶意软件中，杀伤力最强的非勒索软件莫属。近年来，勒索软件借助垂纶邮件、系统误差和弱口令等手段放纵撒播。最初，勒索家族的需求只是钱财，意在外地加密用户文件。个体组织为了进一步扩张“财路”，不但加密用户数据，还会窃取这些内容，以此要挟用户。

其中，勒索软件Maze即是这样一个举行双重勒索的典范家族。Maze组织会在自家网站实时更新窃取到的数据，声称若不实时付款就会果真相关内容，其受害者不乏一些主要机构。同时，Maze组织还一直造势，以招呼其他勒索软件加入其运营模式。

这一运营模式的危害在于将勒索软件原来仅有的数据破损扩展到了数据泄露层面。攻击者纵然在用户拒不支付赎金的情形下，也可以在网络黑市倒卖这些内容来获取暴利，使得受害者遭受数据破损和数据泄露的双重损失，对网络清静和数据清静组成极大威胁。

付费家族的生财之道

与银行木马和勒索软件由特定组织开发运营并通过数据赚钱模式差别，特工/远控木马虽然也由特定组织开发，但通常是售卖给其他攻击者使用，并没有“提成”环节。因此，此类木马无论是商用照旧非商用，多接纳蹊径式售价加允许证的销售模式。

例如，AgentTesla特工木马家族在2020年度通过垂纶邮件迅速扩大了影响规模。由于C#语言编程的便当性，使得像AgentTesla这样基于.NET的特工类恶意软件一直增多，并在一定水平上蚕食了古板银行木马的空间。AgentTesla拥有特工木马的通俗特征，即功效的扩展性不如远控木马，但其背后组织在营销上模拟商用木马，依附蹊径式价钱吸引了差别群体。同时，AgentTesla使用了多级中心载荷对自身举行加固和混淆，这批注其背后有着分工明确的团队，划分执行开发、加固和销售等差别事务。

别的，老牌加载器木马SmokeLoader也使用疫情话题包装自身的垂纶邮件。该家族通过地下生意收取用度，由小型组织或小我私家购置后再封装出特定的攻击链举行攻击。老牌商用远控木马NetWire也是一个善于使用垂纶邮件举行撒播的家族。只管功效一直更新，但与AgentTesla差别，NetWire并无较强的对抗杀软和反剖析特征。因其商用性，除了Windows之外还支持Linux、Mac和安卓平台，同时实验蹊径式售价以吸引差别购置群体，若用户想拥有所有功效，就需要支付高价。

这些运营模式代表了当今简朴/远控木马的生长趋势和生财之道，也是这些木马家族一连生长的主要条件。

总结

《2020 BOTNET趋势报告》先容了部分具有代表性的古板和新兴邮件木马家族，包括AgentTesla、NetWire、Maze、Emotet、和Trickbot。这些家族只管都通过邮件撒播，但类型差别，并展现出如下特征：特工/远控木马的更新换代主要靠蹊径式售价+月付的销售模式维持；勒索软件使用两手威胁用户，一是加密用户数据，而是偷取数据；银行木马涉及的攻击链更为多样，加之与某些勒索软件家族勾通，利益链条较为重大。

<<上一篇

加入中国（南京）软件谷朋侪圈｜九游老哥科技华东总部基地落子雨花台

>>下一篇

攻防论道之流量王牌|防守方怎样实现一体化异常流量追溯

?

您的联系方法

购置热线

提交项目需求

接待加入九游老哥科技，成为我们的相助同伴！

*请形貌您的需求

*最终客户名称
*项目名称
您感兴趣的产品
项目预算

您的联系方法

*姓名
*联系电话
*邮箱
*职务
*公司
*都会
*行业
*验证码
提交到邮箱

九游老哥·(中国)俱乐部官方网站

九游老哥·(中国)俱乐部官方网站

服务支持

智能客服

智能客服

购置/售后手艺问题

盟管家-售后服务系统

盟管家-售后服务系统

在线提单|智能问答|知识库

点击进入

支持热线

支持热线

400-818-6868

九游老哥科技社区

九游老哥科技社区

资料下载|在线问答|手艺交流

点击进入

信息清静

网站地图| 执法声明| 投资者关系

关于九游老哥: 公司先容; 公司声誉; 九游老哥书橱; 九游老哥新闻; 事情时机

怎样购置: 提交项目需求; 请求回电; 购置热线

联系九游老哥: 公司总部; 分支机构; 全球分支机构

清廉建设和举报: 举报说明; 举报奖励; 包管制度

快速链接: 九游老哥云; 九游老哥威胁情报中心NTI; TechWorld手艺嘉年华; 北京九游老哥公益基金会; 手艺博客; 乐成案例

服务热线

400-818-6868

服务时间

7*24小时

? 2025 NSFOCUS 九游老哥科技 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号京ICP备14004349号京ICP证110355号