阅读时间: 4 分钟
Comodo 威胁研究实验室的安全工程师和 IT 专家不断分析数以千计的恶意软件家族,这些恶意软件家族试图对大大小小的 IT 基础设施造成破坏和混乱,并确保 Comodo 的客户受到这些恶意软件家族的保护和保护。
在持续不断的一系列博客文章中,comodo的安全专家将研究特定的恶意软件家族,并将其与Comodo的高级软件进行堆叠 端点保护 和密闭技术,并讨论为什么Comodo的技术 击败所有恶意软件. Comodo 工程高级副总裁 Egemen Tas 和威胁研究总监 Igor Demihovskiy 向高级产品营销经理 Paul Mounkes 讲述了他们对本期的看法。
概述
Zeus 于 2007 年首次报道,是一种浏览器中的恶意软件,通常针对在线银行应用程序的用户。 Zeus 的创建者和运营商仅在美国就开发了一个由 3.6 万台机器感染的大型僵尸网络,并在美国、英国和乌克兰建立了一个庞大的全球黑客和钱骡网络。 在 FBI 最终于 70 年解散该组织之前,他们逃走了至少 2010 万美元。
宙斯仍然是威胁吗?
如果你认为宙斯已经死了,再想一想。 成功的恶意软件永不消亡; 它只是改变,变得更加复杂和/或以不同的方式使用。 Zeus 本身已经产生了多个非常成功的变体,并且被认为已被用作 Carbanak 等高级持续威胁 (APT) 攻击的一部分。 当宙斯的组件被用于创建游戏结束时,宙斯获得了更多的恶名 宙斯僵尸网络 分发了可怕的 Cryptolocker 勒索软件。
银行和安全技术在阻止 MitB 攻击方面做得更好,但网络犯罪的世界是一个复杂的国际象棋游戏,充满了移动和反移动。 宙斯只是老旧的消息吗? 你从宙斯那里安全吗? 你来做法官。 以下只是去年出现的两个头条新闻。
2015 年 1 月 29 日:“新宙斯变体使用复杂的控制面板”
2015 年 8 月 24 日:“狮身人面像:在黑市上出售的新宙斯变种”
宙斯是做什么的?
Zeus 被投放到使用典型社会工程攻击(如网络钓鱼和路过式下载)的系统中。 安装后,它会使用密钥记录和表单抓取/“挂钩”技术从用户那里窃取登录代码和个人数据; 但这并不是它的特别之处。 毕竟,早在宙斯出生之前,病毒就已经这样做了。
Zeus 的天才之处在于它能够 1) 劫持文档对象模型模块接口,将自定义代码注入到浏览器的 HTTP 流量中,使黑客能够充分控制用户会话,从而可以拦截和更改用户的操作,以便银行收到取而代之的是黑客的指示。 2) 操纵用户在屏幕上看到的内容以隐藏恶意活动。 这意味着,在黑客窃取资金的同时,用户仍然可以看到他们正常的盗窃前账户余额,而交易记录对他们来说是隐藏的。 这种类型的诡计为网络犯罪分子计划和操作创造了一个相对巨大的机会之窗。
宙斯是阴险的
根据信托人, 完全最新的传统 杀毒软件 对宙斯的测试成功率仅为 23%。 所以当谈到这个特定的木马时, 杀毒软件 性能远低于其通常的命中或未命中率。 这更像是未命中未命中。 这意味着拥有 AV 很重要,但这还远远不够。
一旦被发现,宙斯就很难被移除。 但是,到那时它可能已经对用户造成了损害,因为在许多情况下,一天的感染就足以清空银行账户。 这就是为什么必须阻止 Zeus 在您的系统上站稳脚跟的原因。
科莫多是如何打败宙斯的?
Comodo One 客户端 高级端点保护,Zeus 可执行文件要么立即被识别为恶意软件并被隔离,要么被指定为未知文件并被迫在安全的虚拟容器中运行。 安装程序将尝试创建一个文件夹和两个文件——一个配置文件和一个用于存储被盗数据的文件。 Comodo One Client 的容器拒绝访问系统的硬盘驱动器,将操作重定向到与受保护系统完全隔离的虚拟驱动器。
可执行文件还将尝试将自己注入到多个服务中,例如 winlogon.exe文件, explorer.exe的 和 svchost.exe的. 因为这些服务是虚拟化的,所以不会对受保护的系统造成损害。
如前所述,Zeus 尝试访问文档对象模块接口,以便将自定义代码注入浏览器进程,以更改用户传输的数据以及用户在屏幕上看到的内容。 在包含运行的可执行文件中,它对所有用户和系统进程都是盲目的。 它无法找到执行攻击所需的东西,因此失败了。
但它不太可能允许可执行文件在收容中运行足够长的时间来进行这些尝试。 该文件使用 Comodo One 多层方法进行沙盒化和分析。 本地和基于云的 Specialized 威胁分析 和保护 (STAP) 引擎与智能解释相结合,返回已知错误的判定。 它根据管理员策略终止并处理的可执行文件,并且容器被删除,就好像什么都没发生过一样。
只有在科莫多身边,宙斯才真正“死”了。
如果您觉得您公司的 IT 环境受到网络钓鱼、恶意软件、间谍软件或网络攻击的攻击,请联系安全顾问,网址为 Comodo 威胁研究实验室: https://enterprise.comodo.com/contact-us.php
- SEO 支持的内容和 PR 分发。 今天得到放大。
- 柏拉图爱流。 Web3 数据智能。 知识放大。 访问这里。
- 与 Adryenn Ashley 一起铸造未来。 访问这里。
- Sumber: https://blog.comodo.com/containment/comodo-containment-vs-zeus-mitb/
- :具有
- :是
- :不是
- $UP
- 1
- 24
- 7
- a
- 对,能力--
- 关于
- ACCESS
- 账号管理
- 操作
- 行动
- 活动
- 高级
- 后
- 再次
- 驳
- 所有类型
- 单
- 已经
- 还
- an
- 分析
- 和
- 应用领域
- 的途径
- APT
- 保健
- AS
- At
- 攻击
- 攻击
- 尝试
- AV
- 坏
- 结余
- 银行
- 银行账户
- 银行业
- BE
- 因为
- 成为
- 很
- before
- 相信
- 如下。
- 更好
- 黑色
- 博客
- 博客
- 天生的
- 僵尸网络
- 浏览器
- 建
- 但是
- by
- CAN
- 携带
- 例
- 原因
- 更改
- 更改
- 混沌
- 棋
- 点击
- 客户
- 码
- COM的
- 结合
- 如何
- 购买的订单均
- 公司的
- 比较
- 复杂
- 组件
- 经常
- 顾问
- CONTACT
- 容器
- 遏制
- 控制
- 创建信息图
- 创建
- 创造者
- 习俗
- 合作伙伴
- 网络攻击
- 网络犯罪
- 网络罪犯
- data
- 天
- 死
- 指定
- 检测
- 发达
- 不同
- 困难
- 副总经理
- 分布
- do
- 文件
- 不
- 做
- 完成
- 驾驶
- 下降
- 版
- 或
- 端点
- 工程师
- 工程师
- 引擎
- 更多
- 保证
- 环境
- 甚至
- 活动
- EVER
- 专家
- 失败
- 家庭
- 家庭
- 联邦调查局
- 感觉
- 文件
- 档
- 终于
- 针对
- 申请
- 自由的
- 止
- ,
- 充分
- 获得
- 游戏
- 通常
- 天才
- 得到
- 给予
- 全球
- 全球网络
- 黑客
- 黑客
- 发生
- 硬
- 硬盘驱动器
- 有
- 头条新闻
- 相关信息
- 老旧房屋
- 隐藏
- 劫持
- 创新中心
- 但是
- HTTP
- HTTPS
- if
- 立即
- 势在必行
- 重要
- in
- 基础设施
- 安装
- 即食类
- 代替
- 说明
- 智能化
- 接口
- 解释
- 成
- 孤立
- IT
- 它的
- 本身
- JPG
- 法官
- 只是
- 键
- 已知
- 实验室
- 大
- (姓氏)
- 去年
- 谎言
- 喜欢
- 本地
- 记录
- 登录
- 长
- 看
- 机
- 制成
- 使
- 制作
- 恶意软件
- 经理
- 许多
- 营销
- 大规模
- 手段
- 提到
- 百万
- 线粒体
- 模型
- 模块
- 钱
- 更多
- 移动
- 多层的
- 多
- 几乎
- 需要
- 网络
- 全新
- 消息
- 没有
- 正常
- 没什么
- 对象
- of
- 折扣
- 最多线路
- 老
- on
- 一旦
- 一
- 正在进行
- 在线
- 网上银行
- 仅由
- 操作
- 操作者
- ZAP优势
- or
- 秩序
- 组织
- 输出
- 超过
- 部分
- 特别
- 保罗
- 性能
- 个人
- 个人资料
- 观点
- 钓鱼
- PHP
- 计划
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 政策
- 帖子
- 总统
- 防止
- 先前
- 大概
- 过程
- 产品
- 保护
- 保护
- 勒索
- 率
- 比
- 接收
- 确认
- 记录
- 去除
- 报道
- 研究
- 回报
- 运行
- 运行
- 安全
- 盐
- 记分卡
- 安全
- 保安
- 看到
- 提交
- 前辈
- 系列
- 特色服务
- 招生面试
- 自
- 单
- 小
- So
- 社会
- 社会工程学
- 极致
- 特别
- 专门
- 具体的
- 间谍
- 堆
- 留
- 仍
- 被盗
- 商店
- 成功
- 成功
- 这样
- 系统
- 产品
- 谈论
- 目标
- 技术
- 技术
- 专业技术
- 比
- 这
- 世界
- 其
- 他们
- 博曼
- 他们
- 认为
- Free Introduction
- 数千
- 威胁
- 次
- 累
- 至
- 传统
- 交通
- 交易
- 木马
- 真正
- 二
- 类型
- 普遍
- Uk
- 乌克兰
- 下
- 不明
- 跟上时代的
- 最新动态
- us
- 用过的
- 用户
- 用户
- 运用
- 变种
- 总结
- 副总裁
- 在线会议
- 病毒
- vs
- 是
- 方法
- 井
- 为
- 什么是
- 什么是
- ,尤其是
- 而
- 全
- 为什么
- 将
- 世界
- 更坏
- 年
- 完全
- 您一站式解决方案
- 和风网
- 宙斯