[资安人文章分享] Sophos 警告植入程式即服务 (Droppers-as-a-Service) 威胁日益严重

Sophos发表最新研究报告《假的盗版软体为恶意软体提供植入程式即服务》，详细说明可租用的病毒植入程式 (dropper) 如何向寻找「破解版」商业和消费性应用程式的使用者植入恶意和不需要的内容。
 
Sophos 资深威胁研究员 Sean Gallagher 表示：「付费的下载和植入程式服务已经出现很久了，但它们仍在继续发展和扩张，为背后的营运商赚进大把钞票。我们的研究表明，它之所以成功，部分原因是恶意人士对取得帐户凭证的需求仍然很大，而这些付费服务让技术能力较低的网路犯罪分子也能以最低成本进行大范围的凭证窃取和加密货币诈骗。
 
「植入程式即服务 (Droppers-as-a-Service) 营运商还会在每个植入程式中搭载一系列恶意或不需要的内容来最大化利润，在单次下载中就植入大量攻击受害者的恶意应用程式。
 
「在过去的 18 个月里，有数百万人在家上班并经常使用个人设备来完成工作。这使得企业也面临恶意植入程式下载攻击的风险，并为新手骇客提供了利润更高的潜在目标。例如，我们的研究发现植入程式会递送后门程式 (例如 Glupteba) 以及信息窃取程式 (例如 Raccoon Stealer 和 Crypto Bot)。
 
「幸运的是，在企业安全方面，安全软体很容易就能侦测出由植入程式递送进来的恶意软体，无论是透过签章或行为。不过，由于恶意软体存在于加密的档案中，安全技术在解压缩之前无法侦测到它们。」

植入软体即服务：攻击步骤

SophosLabs 最近发表了对信息窃取程式 Raccoon Stealer 的研究，该信息窃取程式会经由植入软体即服务递送到目标。后续研究中，SophosLabs 研究人员分析了这些植入程式即服务如何递送它们的多个装载。

下图显示当有人点击下载盗版软体 (但实际上是假的恶意软体植入程式) 时会发生什么事：

如何防御植入程式

Sophos 建议企业检查安全软体、设定和政策，确保它们能够侦测和阻止恶意和不需要的下载。
 
包含使用强大的网路筛选功能。躲藏在植入程式封装中的恶意软体只有在解开后才能被侦测到，但它已经进入网路了。

一个好的网路筛选器不只会扫描一般下载，还会检查加密的网路流量。根据 Sophos 的研究，超过一半的恶意软体 现在使用传输层安全 (TLS) 加密进行通讯。网路筛选器还可以在第一时间阻止不良网域和 URL 来保护企业及员工，避免连线到危险或不可信任的伺服器。
 
组织应该使用最新的端点保护来补强网路安全，在员工进行和远距工作有关的服务时进行行为侦测。
 
适用于端点的 Sophos Firewall 和 Intercept X 可提供以上保护以及更多功能，包括勒索软体防护。
 
Sophos 还建议消费者在他们及家人用于连线和游戏的设备上安装安全解决方案，例如 Sophos Home，以保护每个人免受恶意软体和网路的威胁。避免从任何来源下载和安装未经许可的软体也是一种很好的安全做法。始终先做检查，确保它是合法的。

图片转载自Sophos官网。

原文连结：https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=9435