絶えず変化するオンライン環境では、ランサムウェアマルウェアの追跡と対策は常に困難です。あらゆる場所のセキュリティチームがこれらの新しい脅威に直接直面するのに苦労していますが、一部のマルウェアの複雑さと粘り強さにより、これらの取り組みが役に立たなくなる場合があります。
ボットネットの新しい亜種がネットワーク上で問題を引き起こしています
9月に、Phorpiexはまだ大混乱を引き起こしていましたが、Twiztと呼ばれるマルウェアの新しい亜種を配布していました。これにより、ボットネットは一元化されたコマンドおよび制御サーバーなしで動作できます。
Twizt Phorpiexの新しく改良されたバージョンには、ピアツーピアのコマンドアンドコントロールシステムがあり、静的コマンドサーバーと制御サーバーがダウンした場合に、感染したさまざまなデバイスが互いにコマンドを送信できるようにします。
これは、感染した各コンピューターがサーバーとして機能し、チェーン内の他のボットにコマンドを送信できることを意味します。また、最新のP2Pインフラストラクチャでは、感染したWindowsコンピューターの群れの中に隠れたまま、オペレーターが必要に応じてメインC2サーバーのIPアドレスを変更できることにも注意してください。
この新しいTwiztバリアントに付属する新機能のいくつかにも興味がある場合は、ピアツーピアモードの操作(C2なし)とデータ整合性チェッカーがあります。また、2つのRC4暗号化レベルを備えた構成可能なバイナリプロトコル(TCPまたはUDP)も含まれています。
さらに、Twiztは、ハードコードされたベースURLとパスのリストを介して、またはC2サーバーから適切なコマンドを受信した後に、追加のペイロードをロードすることもできます。
PhorpiexボットネットはMicrosoftによって監視されています
で現在、 Microsoftは中広範な調査実施、この悪質なボットネットの敬意を。
このマルウェアはかなり長い間インターネットに出没しているという事実にもかかわらず、セキュリティサービスは、マルウェアがどのように配布され、どのように機能するかについての新しい詳細を明らかにします。
Microsoftによると、Phorpiexボットネットはランサムウェアとスパムの配信に使用されています。
最近の活動がよりグローバルな配布へのシフトを示しているため、ボットの配布とインストールに対するボットネットの焦点も拡大しています。統計によると、Phorpiexは現在160か国以上に存在しています。
MicrosoftがPhorpiexに関心を示している主な理由の1つは、ボットがターゲットデバイスでの永続性を維持するためにMicrosoftDefenderアンチウイルスを無効にしているためです。
これには、ポップアップまたはファイアウォールとウイルス対策機能を無効にするためのレジストリキーの変更、プロキシとブラウザの設定の上書き、起動時に実行するブートローダーと実行可能ファイルの設定、およびこれらの実行可能ファイルの承認済みアプリケーションのリストへの追加が含まれます。
Forpexが危険なのはなぜですか?
Phorpiexボットネットは、GandCrabやAvaddonランサムウェアなどのマルウェアの配布、またはセクストレーション詐欺に使用されたことが知られています。
Microsoftによると、Avaddonランサムウェアは、発売前にロシアまたはウクライナの言語および地域のチェックを実行して、特定の地域のみを対象としていることを確認できます。
見た目からすると、Avaddonは通常約700ドルのビットコイン身代金を必要とします。これは、コンピューターを保護しないためだけに支払う莫大な価格です。
どうすればPhorpiexから身を守ることができますか?
最初の最も重要なヒントは、信頼できる会社によって開発されていない安全でないコンテンツやアプリケーションをダウンロードしないことです。また、コンピュータや機密情報にアクセスできる人を制限することで、身を守ることもできます。
これらの試みを防ぐ別の方法は、Microsoftの高度なクラウドセキュリティ機能であるMicrosoft Defender Endpoint TamperProtectionを有効にすることです。
このオプションは、ボットがコンピューターに対して常に行おうとしている変更を自動的に元に戻します。ランサムウェア攻撃の犠牲になることを避けるために、他にどのような措置を講じていますか?以下のコメントセクションであなたの経験について教えてください。
コメントを残す