よしのん的網站教室

《よしのん的網站教室》是一個以「教學為主、新聞為輔」的網誌,旨在為大家提供各種各樣的 IT 資訊和心得,其中特別聚焦於網站制作、SEO、社交媒體等議題。

科技新聞 科技新聞
數碼產品 數碼產品
網頁制作 網頁制作
SEO SEO
社交媒體 社交媒體
網賺項目 網賺項目
精選教學 原創教學
日本旅遊 日本旅遊
主頁> 科技新聞 >Fortinet 揭示惡意軟件套件技術,低檔案量、可疑 URL、異常高版本號碼均為特徵
anonymous hacker with on laptop in white room
研究報告

Fortinet 揭示惡意軟件套件技術,低檔案量、可疑 URL、異常高版本號碼均為特徵

發布時間: |  最後更新:
留言

Fortinet 發佈了 FortiGuard Labs 針對自 2024 年 11 月以來偵測到的惡意軟件套件報告,揭示了攻擊者針對系統漏洞所採用的各種技術。該分析透過 FortiGuard Lab 獨有、由人工智能驅動的 OSS 惡意軟件偵測系統,為不斷演變的威脅形勢和新興攻擊方法提供洞察。當中值得留意的策略包括為了逃避偵測而設計的低檔案數量套件、指令覆寫技術和誤植域名。該報告概述了惡意軟件套件的主要趨勢及其對系統安全的潛在影響,並強調了有效偵測和安全策略在軟件環境中的重要性。

(新聞稿)

主要發現

FortiGuard Labs 的分析揭示了一系列攻擊者用以入侵系統的技術:

  • 1,082 個套件為低檔案數量套件,它們往往使用最低限度的程式碼以執行有害操作而不被發現。
  • 1,052 個套件嵌入了可疑的安裝指令碼,旨在於安裝過程暗中部署惡意程式碼。
  • 1,043 個套件沒有配備資料庫 URL,令人擔憂軟件合法性和可追溯性。
  • 974 個套件包含可疑的 URL,使其有利於與指令和控制伺服器通訊,或導致資料外洩。
  • 681 個套件利用可疑的 API(包括 https.get 和 https.request 等指令)來竊取資料或執行遠端控制活動。
  • 537 個套件擁有空白的描述,進一步掩蓋其真實意圖,提高了未被偵測的惡意活動的風險。
  • 164 個套件擁有異常高的版本號碼,用以誤導使用者信任過期或潛在有害的軟件。
1,082 個套件為低檔案數量套件,它們往往使用最低限度的程式碼以執行有害操作而不被發現

惡意威脅指標分類

  1. 低檔案數量:大部分被偵測到的惡意軟件套件(1,082 個)的檔案數量都很少,它們通常只包含最低限度的程式碼,從而避開偵測,但同時進行資料竊取、未經授權的存取或系統入侵等攻擊。常見指標包括指令覆寫和混淆技術,以隱藏惡意負載。這些策略會形成輕量級且難以察覺的威脅,卻能夠造成重大損害的攻擊。
  1. 可疑的安裝指令碼:威脅行為者往往會使用安裝指令碼,在安裝過程暗中部署有害程式碼。這些指令碼會修改安裝程序,在用戶不知情的情況下執行有害操作。例如,安裝指令碼可能包含用於資料外洩的 HTTP POST 請求、用於與外部伺服器通訊的可疑 API,以及用於接收竊取資料的硬編碼 URL(例如 Discord webhooks)。這些操作均顯示該指令碼正在設定後門程式或準備對系統作出進一步的惡意活動。
  1. 缺乏資料庫 (repository):缺少資料庫 URL 的套件會引起對其合法性和透明性的疑慮,導致難以驗證來源或追蹤開發過程。惡意行為者可能會避免使用資料庫,以逃避審查並防止程式碼被檢查。缺乏資料庫 URL,加上如可疑的 API 或 URL 的警示,增加了該套件被設計用於偵測或資料竊取的可能性。
  1. 可疑的 URL: 可疑 URL 是潛在惡意套件的重要指標,因為它們通常用於下載額外的負載,或與指令和控制 (C&C) 伺服器建立通訊。這些 URL 可能看似合法,掩飾其有害意圖以逃避偵測。常見的手法包括縮短 URL、在值得信賴的平台上托管惡意內容,或將負載偽裝成安全檔案。在 974 個套件中,此類 URL 與資料竊取及進一步下載惡意軟件等風險相關。
  1. 可疑的 API: API 對於軟件功能至關重要,但也可能被用於執行有害行為。在 681 個偵測案例中,可疑的 API 被用來竊取資料、與 C&C 伺服器進行通訊或隱藏惡意意圖。這些 API 顯示惡意項目的潛在可能性,並突顯出仔細檢查 API 使用情況的重要性。

攻擊案例

  • 惡意 Python 程式碼透過安裝檔案對開發人員進行攻擊: 最近發現的惡意 Python 套件利用 setup.py 檔案暗中收集系統資訊,並將資料傳送至攻擊者控制的遠端伺服器。這類攻擊突顯了開發人員在安裝不明來歷的套件時所面臨的風險,可能導致憑證和系統資料被盜取,甚至進一步的攻擊。
  • 惡意 Node.js 指令碼收集敏感資料並發送給攻擊者: 惡意指令碼旨在從受害者的設備上秘密收集敏感資訊,並透過 Discord webhook 將其發送至外部伺服器。在執行時,指令碼會擷取受害者設備的內部 IP 地址,並透過向網上 API 提出 HTTPS 請求來獲取外部 IP 地址,同時也收集系統詳細資料。結合內部和外部 IP 地址、DNS 設定和用戶詳細信息,使攻擊極具侵入性,攻擊者能追蹤受害者的機器,並可能利用這些資訊進行進一步攻擊。
  • 惡意 JavaScript 程式碼下載並執行有害軟件: 最近發現的惡意 JavaScript 程式碼利用混淆技術來記錄按鍵動作以擷取私人信息,並將收集到的資料傳送至攻擊者控制的遠端伺服器。該指令碼還會安裝後門程式,提供遠端存取權,使攻擊者能竊取敏感資料並發動進一步攻擊,對受害者的私隱和系統完整性造成重大威脅。

FortiGuard Labs 的分析數據揭示了各式各樣的惡意套件,展現出網絡罪犯所採用的多種策略。隨著網絡安全威脅的不斷演變,企業和個人必須時刻了解最新的威脅。定期進行系統更新、採用先進的威脅偵測,以及提供識別可疑行為的教育等主動防禦措施,對降低這些日益增加的風險至關重要。

探索更多: