金刃组织利用新型攻击链释放RedLoader:LNK文件+WebDAV+DLL侧加载组合技规避检测
💡
原文中文,约1500字,阅读约需4分钟。
📝
内容提要
Sophos安全分析师发现网络犯罪团伙GOLD BLADE利用新型组合感染技术传播RedLoader恶意软件,攻击链包括七个阶段,结合社交工程、LNK文件、WebDAV和DLL侧加载技术,展示了攻击者规避检测的能力。建议通过组策略限制.lnk文件的使用,并查阅IoC信息以增强防御。
🎯
关键要点
-
Sophos安全分析师发现GOLD BLADE团伙利用新型组合感染技术传播RedLoader恶意软件。
-
攻击链包括七个阶段,结合社交工程、LNK文件、WebDAV和DLL侧加载技术。
-
攻击始于伪装成求职信的恶意PDF文件,下载ZIP压缩包和LNK文件。
-
完整的攻击执行链包括启动conhost.exe、建立WebDAV连接、获取恶意可执行文件等。
-
此次攻击展示了攻击者如何将多种技术整合以规避检测。
-
Sophos建议通过组策略限制.lnk文件的使用,并查阅IoC信息以增强防御。
❓
延伸问答
GOLD BLADE团伙是如何传播RedLoader恶意软件的?
GOLD BLADE团伙通过社交工程手段发送伪装成求职信的恶意PDF文件,下载ZIP压缩包和LNK文件来传播RedLoader恶意软件。
RedLoader攻击链的主要阶段有哪些?
RedLoader攻击链包括七个阶段,从启动LNK文件到建立WebDAV连接,再到获取恶意可执行文件和执行后续阶段。
Sophos对防御RedLoader攻击有什么建议?
Sophos建议通过组策略限制.lnk文件的使用,并查阅IoC信息以增强防御。
GOLD BLADE团伙的攻击技术有什么创新之处?
GOLD BLADE首次将LNK文件、WebDAV和DLL侧加载技术整合到单一感染链中,展示了其规避检测的能力。
RedLoader攻击的初始执行方法有什么特别之处?
此次攻击的初始执行方法是首次公开披露,标志着RedLoader投放策略的重大演变。
攻击者如何利用社交工程进行攻击?
攻击者通过招聘平台发送伪装成求职信的恶意PDF文件,诱导受害者下载恶意文件。
➡️
