它是如何工作的?
Dridex 惡意軟體可以透過多種方式傳播。一些常見的例子包括 phishing emails、漏洞利用工具包,並作為惡意軟體其他惡意軟體系列(例如 Emotet)的第二階段感染進行傳遞。
在受感染的機器上執行後,Dridex 會使用過程注入和掛鉤來訪問屏幕截圖和按鍵信息。 它還可以從網頁瀏覽器收集信息,被攻擊者遠端控制,以及下載和執行其他惡意軟體。Dridex 通常使用 Web 注入模塊來進行瀏覽器人入攻擊,並允許網絡犯罪分子竊取銀行帳戶,電子郵件和社交媒體的憑據。
Dridex 惡意軟體的演變
Dridex 惡意軟體最初是一種銀行惡意軟體 特洛伊木馬,從受感染的機器收集網上銀行平台的登錄憑據。 儘管這繼續是其功能的核心部分,但大多數 Dridex 攻擊都是 針對金融服務行業,近年來它已經擴大了其能力。
現在,Dridex 還結合了信息竊取和殭屍網絡功能,類似於 TrickBot 和 Qbot。 儘管與這些競爭對手相比,該惡意軟體的數量似乎有所下降,但它仍在積極開發中。2021 年 9 月,該惡意軟體的新變種 被發現 它擴展了惡意軟體的資訊竊取功能,並被用於傳播惡意 Excel 文件的新網路釣魚活動。Dridex 也是 2021 年 12 月利用Log4J脆弱性的惡意軟體中的領導者。
如何防範 Dridex 惡意軟體
Dridex 結合了銀行木馬、殭屍網路惡意軟體和資訊竊取者的功能,並以多種方式分發。組織可以通過一些保護免受 Dridex 感染並管理其影響的方法包括:
- Anti-Phishing Protection: Dridex 主要透過惡意附件中的網路釣魚活動進行分發。防止惡意軟體進入企業系統需要網路釣魚防護解決方案,該解決方案可以在惡意軟體到達員工收件匣之前在沙盒環境中對其進行分析和識別。
- Content Disarm and Reconstruction (CDR): 通常,Dridex 使用微軟辦公巨集嵌入惡意文檔中。 CDR 可讓惡意功能從文件中刪除,然後再將已清除已清除已清除的版本給預定的收件者。
- 更新和修補程式管理: 除了網路釣魚攻擊之外,Dridex 還透過利用未修補的脆弱性(例如Log4J進行傳播。及時安裝更新和修補程式可協助保護易受影響的系統免受 Dridex 遭受攻擊和感染。
- 端點偵測和回應(EDR): 一旦出現在系統上,Dridex 惡意軟體就會使用各種技術來竊取敏感資訊並執行其他惡意功能。EDR 解決方案可以識別這些動作並開始修復感染的過程。
- 多重身份驗證 (MFA): Dridex 惡意軟體旨在透過從受感染的電腦竊取員工的登入憑證來接管員工的帳戶。在整個企業中強制使用 MFA 會使攻擊者更難以使用惡意軟體竊取的憑證。
- 最低權限存取: 成功的 Dridex 攻擊會導致攻擊者控制一個或多個公司帳戶。 如果組織遵循零信任原則並實施最低權限,則這些遭入侵的帳戶的影響將最小化。
- 帳戶行為監控: 如果攻擊者獲得公司帳戶的存取權限,他們將濫用此存取權來實現其目標。 監控公司帳戶的行為可讓組織偵測可能指向遭入侵的帳戶的異常狀況。
- Employee Security Training: 網路釣魚活動(例如用於傳播 Dridex 的活動)依賴誘騙收件者執行惡意軟體。培訓員工識別並正確應對網路釣魚攻擊可以降低這些攻擊對企業網路安全造成的風險。
如何刪除 Dridex 惡意軟體?
Dridex 是一種複雜的惡意軟體,旨在逃避偵測且難以移除。如果無法從受感染的系統中徹底根除惡意軟體,可能會導致重新感染。因此,刪除 Dridex 惡意軟體的最佳方法是使用端點資安解決方案。這些工具可以確保惡意軟體從受感染的電腦中完全消除。
反映意見