Glupteba 是一種特洛伊木馬惡意軟件，是2021 年十大惡意軟件變種之一。感染系統后，Glupteba 惡意軟件可用于傳播其他惡意軟件、竊取用戶身份驗證信息以及將受感染的系統注冊到加密挖礦僵尸網絡中。

它是如何工作的？

Glupteba 通常通過偽裝成可供下載的所需軟件來感染計算機。例如，一種常見的感染方法是用 Glupteba 代替免費下載的破解軟件。另外，Glupteba 也通常由漏洞利用工具包部署。

一旦安裝在計算機上，Glupteba 就會為攻擊者提供對受感染機器的后門訪問。它使用 HTTPS 協議與其命令和控制 (C2) 服務器通信，使其能夠通過加密保護其 C2 數據并將其隱藏在合法的 C2 流量中。

默認情況下，惡意軟件有幾個與之通信的 C2 服務器。但是，它還為惡意軟件提供了一種不尋常的機制，可以在主要服務器不可用時識別備份 C2 服務器。

在比特幣區塊鏈上，攻擊者控制著幾個不同的賬戶，這些賬戶在他們的交易中包含備份域。這些域使用 AES 256 和嵌入在 Glupteba 惡意軟件二進制文件中的密鑰進行加密。如果惡意軟件無法到達其主要 C2 服務器，它可以檢查比特幣區塊鏈的分類帳以查找其他域。

一些變體包括使用 EternalBlue 漏洞通過組織網絡橫向傳播的能力。此漏洞曾被WannaCry使用并利用了 Microsoft SMBv1 中的漏洞。

Glupteba 惡意軟件功能

Glupteba 被設計為模塊化惡意軟件，這意味著它可以下載和部署實現各種功能的代碼。Glupteba 惡意軟件使用的一些最常見的惡意功能包括：

• 惡意軟件投放： Glupteba 是一種特洛伊木馬，旨在獲得對目標系統的初始訪問權限。一旦安裝在系統上，它可用于部署和執行其他惡意軟件以實現攻擊者的目標，例如勒索軟件或信息竊取程序。
• 憑據竊取：該惡意軟件從受感染的計算機收集并泄露用戶憑據和 cookie。這些可用于登錄用戶帳戶或通過使用 cookie 文件中包含的信息接管與網站的現有會話。
• 加密貨幣挖礦：它可以將受感染的機器注冊到加密貨幣挖礦僵尸網絡中。Cryptomining 僵尸網絡使用受感染機器的計算資源在工作量證明區塊鏈上找到有效塊并為惡意軟件操作員賺取獎勵。
• 惡意廣告：一些 Glupteba 變體會安裝瀏覽器擴展，用于在受感染的計算機上投放惡意廣告。這些廣告可用于為攻擊者賺錢、竊取數據或部署其他惡意功能。

Glupteba 感染的影響

作為模塊化惡意軟件變體，Glupteba 可以在受感染的計算機上實現各種目標。Glupteba 感染的一些最常見影響包括：

• 后續攻擊： Glupteba 通常用作其他惡意軟件的下載器和投放器。這意味著 Glupteba 感染可能導致勒索軟件感染、數據泄露或其他安全事件。
• 帳戶接管： Glupteba 惡意軟件旨在從受感染的機器上竊取用戶憑據和會話 cookie。此身份驗證數據可用于訪問用戶的在線帳戶或其他系統，使攻擊者能夠竊取敏感數據或使用這些受損帳戶采取其他行動。
• 資源消耗：該惡意軟件通常用于在受感染的計算機上部署加密挖礦功能。Cryptominers 通過使用它們來挖掘工作證明區塊鏈的塊來浪費計算機資源。

如何防范 Glupteba 惡意軟件

Glupteba 使用各種方式感染計算機。一些有助于防止 Glupteba 感染的安全最佳實踐包括：

• URL 過濾： Glupteba 通常通過惡意站點部署，因此阻止對已知不良 URL 的訪問有助于保護用戶免于下載 Glupteba。
• 內容過濾： Glupteba 主要通過惡意下載傳播。掃描下載的惡意軟件跡象有助于阻止這些攻擊。
• 安全意識培訓： Glupteba 通常偽裝成破解軟件和其他可疑下載。安全意識培訓可以使用戶識別并避免這些威脅。
• 漏洞修補：一些變體使用 EternalBlue 或其他漏洞在網絡中傳播。保持系統補丁和更新可以幫助關閉這些潛在的感染媒介。
• 端點安全： Glupteba 是一種眾所周知的惡意軟件變體。最新的端點安全解決方案應該在 Glupteba 感染對組織構成威脅之前識別并阻止它們。