微慑信息网

银行恶意软件 QakBot 导致大量 Active Directory 域被锁定

据外媒 6 月 4 日报道,IBM 安全专家于近期发现成百上千的客户Active Directory 域在受到银行恶意软件 QakBot 攻击后被锁定。

Active Directory( 活动目录 )是面向 Windows Standard Server、Windows Enterprise Server 以及 Windows Datacenter Server 的目录服务。活动目录服务是 Windows Server 2000 操作系统平台的中心组件之一。(百度百科)

恶意软件 QakBot 是一种主要通过共享驱动器或移动设备实现自我复制的网络蠕虫。该恶意软件主要针对企业银行账号窃取用户资金与私人数据,例如:数字证书、缓存凭证、HTTP(S)会话认证数据、Cookie、身份验证令牌以及 FTP 、POP3 登录凭证等。近期,QakBot 被发现针对美国政府机构、银行开展攻击活动,其中包括美国国家财政部、企业银行与商业银行。

11

调查显示,恶意软件 QakBot 除了使用了特殊的检测机制规避沙箱外,还利用了 dropper 执行 explorer.exe 并在进程中自动注入 QakBot 动态链接库(DLL),以破坏其原始文件传播恶意软件。

安全专家表示,银行恶意软件 QakBot 为了在目标网络中进行传播,还能使用 C&C 服务器的特定命令实现随需应变。此外,QakBot 还能利用“浏览器中间者”(Man-in-the-Browser,MitB)攻击,将恶意代码注入在线银行会话中,以便通过被控制的域名获取脚本。

原作者:Pierluigi Paganini,译者:青楚

from hackernews.cc.thanks for it.

本文标题:银行恶意软件 QakBot 导致大量 Active Directory 域被锁定
本文链接:
(转载请附上本文链接)
http://vulsee.com/archives/vulsee_2017/0604_5334.html
转载请附本站链接,未经允许不得转载,,谢谢:微慑信息网-VulSee.com » 银行恶意软件 QakBot 导致大量 Active Directory 域被锁定
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

微慑信息网 专注工匠精神

访问我们联系我们