Saint Bot恶意软件

网络安全专家发现了一个最近发布的新的恶意软件丢弃程序，似乎在黑客圈中越来越受欢迎。该威胁命名为Saint Bot恶意软件，可能没有任何前所未有的功能，但其创建过程中使用的广泛技术表明，开发人员确实具有有关恶意软件设计的知识。

Saint Bot恶意软件攻击是一个复杂的过程，需要经历几个中间步骤。最初的攻击媒介是带有武器附件的网络钓鱼电子邮件。文件“ bitcoin.zip”伪装成一个比特币钱包，而实际上却是一个PowerShell脚本。在下一阶段，PowerShell脚本将新的恶意软件放入WindowsUpdate.exe可执行文件中，然后，该可执行文件将提供另一个名为InstallUtil.exe的可执行文件。最后，最后两个可执行文件被带到受感染的系统中-'def.exe'是一个批处理脚本，旨在禁用Windows Defender，而'putty.exe'包含主要的Saint Bot有效负载。然后，恶意软件威胁与其命令和控制（C2，C＆C）服务器建立了连接，并等待进一步攻击受害者的指示。

强大的躲避和探测技术

Saint Bot恶意软件具有三种恶意功能：

1.从C2服务器获取并执行其他恶意软件有效负载。到目前为止，这些有效载荷主要用于信息窃取者，例如Taurus Stealer或中级滴管。但是，Saint Bot能够丢弃任何类型的恶意软件有效载荷。

2.更新自身

3.完全将其从受感染机器上移开以掩盖其痕迹

虽然绝对不是目前用途最广泛的威胁，但无可否认，圣博特无疑是行之有效的。几种攻击分析技术可支持其在整个攻击链中的混淆。结果，Saint Bot非常滑，可以使威胁参与者在没有受到注意的情况下利用受感染的设备。

此外，Saint Bot还对调试器或是否正在虚拟环境中运行进行检查。如果受感染的受害者来自独联体国家（独立国家联合体）以下国家的列表中，也可以对恶意软件威胁进行编程以阻止其执行：罗马尼亚，亚美尼亚，哈萨克斯坦，摩尔多瓦，俄罗斯，乌克兰和白俄罗斯。