瓦拉克 被认为是一种复杂的恶意软件,于2019年被发现,它是一种熟悉程度更高的恶意软件的新版本,它被认为是一种恶意软件加载器,一种用于在受感染系统上加载其他恶意软件的程序。
虽然那很危险, 最近的研究 发现使用较新版本的Valak进行侦察并窃取凭据&其他敏感信息-使其成为企业最糟糕的噩梦。
瓦拉克 本身就是一个独立的威胁, 发现 针对美国和德国企业的积极运动。它针对Microsoft Exchange服务器以窃取密码和企业证书。这是一个巨大的威胁,因为它可能导致企业失去访问关键帐户的权限,从而导致严重的组织损失。
新型和先进的Valak
该活动通常通过嵌入了恶意宏的Microsoft Word文档进行传播。这些宏下载了一个 .dll 该文件在启动时会执行一系列恶意活动。它通过JavaScript在受影响的系统和网络上执行恶意有效负载,同时收集信息并进行更多侦察。该侦察包括诸如机器运行时间,当前运行的Windows版本等信息。然后,所有这些信息都将被泄漏到远程域。通过提取敏感数据,攻击者还可以访问域用户的内部电子邮件服务并识别域管理员。
是什么让Valak对企业如此危险?
无情的进化
虽然原始的Valak恶意软件在2019年被发现,但最新版本已演变出30多种不同的更新。它最初是一个恶意软件加载器,现在已经成为独立的威胁。这种无情的演变表明,此活动的实施者正在不断更新恶意软件,以确保其变得更加危险。
专注于Microsoft Exchange服务器
瓦拉克 对Microsoft Exchange服务器的不懈努力正困扰着企业。 微软 Exchange服务器在全球范围内被企业使用,其中包含机密信息和重要数据,如果泄露,可能会造成重大损害。
隐身能力
瓦拉克 通过使用备用数据流(ADS)并在注册表中隐藏各种组件来设法逃避检测。它还不使用PowerShell,以确保安全解决方案无法检测到它。
美国和德国的企业已通过Valak恶意软件活动成为攻击目标,但它有可能进一步传播。尽管没有任何证据证明此活动的肇事者,但安全专家 建议的 可能来自俄罗斯地下。
企业可以采取的两个关键步骤来增强对Valak的保护:
强调社会工程学尝试的重要性
作为一种使用各种技术来逃避检测的恶意软件,企业不应仅依靠其网络安全解决方案来防止此类攻击。如本文前面所述,该恶意软件通过嵌入了恶意宏的Microsoft Word文档传播。用户大多被诱骗下载并运行恶意负载。因此,企业必须继续强调 社会工程学 员工,并在内部提高对保持警惕性的意识。
全面的端点保护
如果尚未完成,企业应安装端点安全解决方案以帮助进行检测和响应。 序列 端点安全性(EPS) 将一系列强大的技术(反勒索软件,数据丢失防护,漏洞扫描等)集成到一个简单,全面,强大且用户友好的界面中,旨在实施企业内所有端点的完全安全性。
没意见