Saint Bot惡意軟件

網絡安全專家發現了一個最近發布的新的惡意軟件丟棄程序，似乎在黑客圈中越來越受歡迎。該威脅命名為Saint Bot惡意軟件，可能沒有任何前所未有的功能，但其創建過程中使用的廣泛技術表明，開發人員確實具有有關惡意軟件設計的知識。

Saint Bot惡意軟件攻擊是一個複雜的過程，需要經歷幾個中間步驟。最初的危害向量是帶有武器附件的網絡釣魚電子郵件。文件“ bitcoin.zip”偽裝成一個比特幣錢包，而實際上卻是一個PowerShell腳本。在下一階段，PowerShell腳本將新的惡意軟件放入WindowsUpdate.exe可執行文件中，然後，該可執行文件將提供另一個名為InstallUtil.exe的可執行文件。最後，最後兩個可執行文件被帶到受感染的系統中-'def.exe'是一個批處理腳本，旨在禁用Windows Defender，而'putty.exe'包含主要的Saint Bot有效負載。然後，惡意軟件威脅與其命令和控制（C2，C＆C）服務器建立了連接，並等待進一步攻擊受害者的指示。

強大的躲避和探測技術

Saint Bot惡意軟件具有三種惡意功能：

1.從C2服務器獲取並執行其他惡意軟件有效負載。到目前為止，這些有效載荷主要用於信息竊取者，例如Taurus Stealer或中級滴管。但是，Saint Bot能夠丟棄任何類型的惡意軟件有效載荷。

2.更新自身

3.完全將其從受感染機器上移開，以掩蓋其痕跡

雖然絕對不是目前用途最廣泛的威脅，但無可否認，聖博特是有效的。幾種攻擊分析技術可支持其在整個攻擊鏈中的混淆。結果，Saint Bot非常滑，可以使威脅參與者在沒有受到注意的情況下利用受感染的設備。

此外，Saint Bot還對調試器或是否正在虛擬環境中運行進行檢查。如果受感染的受害者來自獨聯體國家（獨立國家聯合體）以下國家/地區列表中-羅馬尼亞，亞美尼亞，哈薩克斯坦，摩爾多瓦，俄羅斯，烏克蘭和白俄羅斯，也可以對惡意軟件威脅進行編程，以阻止其執行。