殭屍網絡的新變種導致網絡出現問題
早在 9 月,當 Phorpiex 仍在肆虐時,它正在分發一種名為 Twizt 的新惡意軟件變體,它允許殭屍網絡在沒有集中式命令和控制服務器的情況下運行。
新的改進版 Twizt Phorpiex 有一個點對點命令和控制系統,如果靜態命令和控制服務器關閉,它允許不同的受感染設備相互傳輸命令。
這意味著每台受感染的計算機都可以充當服務器並向鏈中的其他機器人發送命令。還值得注意的是,最新的 P2P 基礎設施還允許運營商根據需要更改主要 C2 服務器的 IP 地址,同時隱藏在受感染的 Windows 計算機群中。
如果您還對這個新的 Twizt 變體附帶的一些新功能感到好奇,它具有點對點操作模式(無 C2)和數據完整性檢查器。還包括具有兩個 RC4 加密級別的可配置二進制協議(TCP 或 UDP)。
此外,Twizt 還可以通過硬編碼的基本 url 和路徑列表,或在從 C2 服務器接收適當的命令後加載額外的有效載荷。
Phorpiex 殭屍網絡被微軟監控
儘管這種惡意軟件已經在互聯網上存在了很長一段時間,但安全服務揭示了有關它如何分佈和如何工作的新細節。
據微軟稱,Phorpiex 殭屍網絡正被用來傳送勒索軟件和垃圾郵件。
殭屍網絡對分發和安裝機器人的關注也擴大了,因為最近的活動表明向更全球化的分發轉變。統計數據證實,Phorpiex 現在已在 160 多個國家/地區開展業務。
微軟對 Phorpiex 表現出興趣的主要原因之一是,該機器人禁用了 Microsoft Defender 防病毒軟件,以便在目標設備上保持持久性。
這包括修改註冊表項以禁用彈出窗口或防火牆和防病毒功能、覆蓋代理和瀏覽器設置、將引導加載程序和可執行文件設置為在啟動時運行,以及將這些可執行文件添加到授權應用程序列表中。
為什麼 Forpex 是危險的?
眾所周知,Phorpiex 殭屍網絡已被用於分發惡意軟件,例如 GandCrab 和 Avaddon 勒索軟件,或用於性勒索詐騙。
據微軟稱,Avaddon 勒索軟件能夠在發布前對俄羅斯或烏克蘭進行語言和區域檢查,以確保它只針對特定區域。
從表面上看,Avaddon 通常需要大約 700 美元的比特幣贖金。這是一個巨大的代價,因為它不保護您的計算機。
我如何保護自己免受 Phorpiex 的侵害?
第一個也是最重要的提示是不要下載不安全的內容或不是由可信賴的公司開發的應用程序。您還可以通過限制可以訪問您的計算機和機密信息的人員來保護自己。
防止這些嘗試的另一種方法是啟用 Microsoft Defender Endpoint Tamper Protection,這是 Microsoft 的高級雲安全功能。
此選項將自動撤消 bot 不斷嘗試在您的計算機上進行的任何更改。您還採取哪些其他措施來避免成為勒索軟件攻擊的受害者?在下面的評論部分告訴我們您的體驗。
發佈留言