近期利用RayAegis開發的Sandbox(SandSphere),為客戶的信件附件掃描,找出了各式新型病毒。
此類病毒的共同特徵,就是會利用各式方法去規避防毒軟體,對組織進行針對性攻擊,並嘗試進入內網系統。
舉例來說,這一支是RayAegis於2024束7月掃描到的病毒,在Virustotal上沒有任何防毒偵測到: https://www.virustotal.com/gui/file/7081e2197d03dc280f3974382034b1e3a1de8c1e72efd7e1eb11f65ef6dfec22/detection
這是一個word的.docx檔案,在利用SandSphere分析後,光盾的研究員發現這個.docx檔案,在利用word打開後,會進行一連串的惡意行為,例如:
-下系統指令,其中一個指令為: IWbemServices::ExecQuery – ROOT\CIMV2 : SELECT * FROM Win32_ComputerSystemProduct
-取得系統敏感資訊 (各網站的cookies、暫存資訊、系統registry內容等)
-將敏感資訊傳到188.114.96.7:443 (俄羅斯的網域)
-產生更多惡意檔案
-利用chrome將email及其他敏感資傳到遠端C&C主機 (byteburst.cbg.ru)
因此,除了謹慎選擇可以進行行為分析的防護系統外(深層防禦),不要任何開啟不受信任的信件非常重要(定期進行社交工程演練)。