惡意軟件有各種形狀和大小。此外，這些年來，惡意軟件的複雜程度已經大大提高。攻擊者意識到，試圖將惡意軟件包的各個方面整合到單個有效負載中並不總是最有效的方法。

隨著時間的推移，惡意軟件已經變得模塊化。也就是說，一些惡意軟件變種可以使用不同的模塊來改變它們對目標系統的影響。那麼，什麼是模塊化惡意軟件，它是如何工作的？

什麼是模塊化惡意軟件(modular malware)？

模塊化惡意軟件是在不同階段攻擊系統的高級威脅。模塊化惡意軟件採用了一種更微妙的方法，而不是從前門炸開。

它只需要先安裝必要的組件就可以做到這一點。然後，第一個模塊沒有引起轟動並提醒用戶它的存在，而是搜索系統和網絡安全；誰負責，運行什麼保護，惡意軟件在哪裡可以發現漏洞，什麼攻擊最有可能成功，等等。

在成功確定本地環境的範圍後，第一級惡意軟件模塊可以撥回其指揮與控制（C2）服務器。然後，指揮控制系統可以發回更多指令以及其他惡意軟件模塊，以利用惡意軟件運行的特定環境。

與將所有功能打包到單個負載中的惡意軟件相比，模塊化惡意軟件有幾個好處。

• 惡意軟件的作者可以迅速改變惡意軟件的簽名，以逃避殺毒和其他安全程序。
• 模塊化惡意軟件允許各種環境的廣泛功能。在這種情況下，作者可以對特定的目標做出反應，或者指定特定的模塊用於特定的環境。
• 最初的模塊很小，比較容易混淆。
• 將多個惡意軟件模塊組合在一起會讓安全研究人員猜測接下來會發生什麼。

模塊化惡意軟件並不是一個突然的新威脅。惡意軟件開發人員長期以來一直有效地利用模塊化惡意軟件程序。不同的是，安全研究人員在更廣泛的情況下遇到更多的模塊化惡意軟件。研究人員還發現了巨大的Necurs殭屍網絡（因分發Dridex和Locky勒索軟件變種而臭名昭著）分發模塊化惡意軟件有效載荷。（到底什麼是殭屍網絡？）

模塊化惡意軟件示例

有一些非常有趣的模塊化惡意軟件的例子。這裡有一些你要考慮的。

VPN過濾器

VPNFilter是一種最新的惡意軟件變種，它攻擊路由器和物聯網（IoT）設備。惡意軟件分三個階段工作。

第一階段惡意軟件聯繫命令和控制服務器下載第二階段模塊。第二階段模塊收集數據，執行命令，並可能干擾設備管理（包括“磚塊”路由器、物聯網或NAS設備的能力）。第二階段還可以下載第三階段的模塊，這些模塊就像第二階段的插件一樣工作。第三階段模塊包括一個數據包嗅探器，用於SCADA通信，一個數據包注入模塊，以及一個允許第二階段惡意軟件使用Tor網絡進行通信的模塊。

您可以瞭解更多關於VPNFilter的信息，它來自哪裡，以及如何在這裡找到它。

t9000型

Palo Alto Networks安全研究人員發現了T9000惡意軟件（與Terminator或Skynet無關…或者是？！）。

T9000是一種情報和數據收集工具。T9000一旦安裝，攻擊者就可以“捕獲加密數據，截取特定應用程序的屏幕截圖，並專門針對Skype用戶”，以及Microsoft Office產品文件。T9000配備了不同的模塊，旨在規避多達24種不同的安全產品，改變其安裝過程，以保持在雷達之下。

達納博特

DanaBot是一個多階段的銀行特洛伊木馬，作者使用不同的插件來擴展其功能。（如何快速有效地對付遠程訪問木馬）例如，2018年5月，DanaBot被發現參與了針對澳大利亞銀行的一系列攻擊。當時，研究人員發現了一個數據包嗅探和注入插件、一個VNC遠程查看插件、一個數據採集插件和一個允許安全通信的Tor插件。

“DanaBot是一個銀行特洛伊木馬，這意味著它一定程度上是地理定位的，”Proofpoint DanaBot博客寫道然而，正如我們在美國戰役中看到的那樣，大量參與者的採用表明了積極的開發、地理擴張以及持續的威脅參與者對惡意軟件的興趣。惡意軟件本身包含許多反分析功能，以及更新的竊取程序和遠程控制模塊，進一步增加了其對威脅行為者的吸引力和實用性。”

marap、advisor**ot和cobint

我將三個模塊化的惡意軟件變種組合成一個部分，因為Proofpoint的優秀安全研究人員發現了這三個變種。模塊化惡意軟件變種有相似之處，但用途不同。此外，CobInt是Cobalt集團活動的一部分，Cobalt集團是一個與一長串銀行和金融網絡犯罪有聯繫的犯罪組織。

Marap和AdvisorsBot都被發現為防禦和網絡映射確定了目標系統的範圍，以及惡意軟件是否應該下載完整的負載。如果目標系統有足夠的興趣（例如，有價值），惡意軟件會調用第二階段的攻擊。

與其他模塊化惡意軟件變體一樣，Marap、AdvisorsBot和CobInt遵循三步流程。第一階段通常是一封帶有感染附件的電子郵件，該附件帶有初始漏洞。如果攻擊執行，惡意軟件會立即請求第二階段。第二階段是偵察模塊，用於評估目標系統的安全措施和網絡環境。如果惡意軟件認為一切都是合適的，那麼第三個也是最後一個模塊將下載，包括主負載。

證據分析：

• 馬拉普
• AdvisorBot（和PoshAdvisor）
• 柯賓

混亂

Mayhem是一個稍微老一點的模塊化惡意軟件變種，在2014年首次曝光。然而，混亂仍然是一個偉大的模塊化惡意軟件的例子。Yandex的安全研究人員發現的惡意軟件針對Linux和Unix web服務器。它通過惡意PHP腳本安裝。

一旦安裝，腳本可以調用幾個插件來定義惡意軟件的最終用途。

這些插件包括一個以FTP、WordPress和Joomla帳戶為目標的強力密碼破解程序，一個搜索其他易受攻擊服務器的網絡爬蟲，以及一個利用Heartbleed OpenSLL漏洞的工具。

響尾蛇

我們的最終模塊化惡意軟件變種也是最完整的。出於幾個原因，這也是最令人擔憂的問題之一。

理由一：DiamondFox是一個模塊化的殭屍網絡，可以在各種地下論壇上**。潛在的網絡罪犯可以購買DiamondFox模塊化殭屍網絡包，以獲得廣泛的先進攻擊能力。該工具是定期更新，並像所有良好的在線服務，有個性化的客戶支持。（它甚至有一個更改日誌！）

原因二：DiamondFox模塊化殭屍網絡帶有一系列插件。這些都是通過一個儀表板打開和關閉，不會不適合作為一個智能家居應用程序。插件包括定製的間諜工具、憑證竊取工具、DDoS工具、鍵盤記錄程序、垃圾郵件發送器，甚至還有RAM scraper。

警告：以下視頻包含您可能喜歡或不喜歡的音樂。

如何阻止模塊化惡意軟件攻擊

目前，沒有任何特定的工具可以防止特定的模塊化惡意軟件變體。此外，一些模塊化惡意軟件變種的地理範圍有限。例如，Marap、AdvisorsBot和CobInt主要出現在俄羅斯和獨聯體國家。

也就是說，Proofpoint研究人員指出，儘管目前地理位置有限，但如果其他罪犯看到這樣一個使用模塊化惡意軟件的既定犯罪組織，其他人肯定會效仿。

瞭解模塊化惡意軟件如何到達您的系統是很重要的。大多數使用受感染的電子郵件附件，通常包含帶有惡意VBA腳本的Microsoft Office文檔。攻擊者使用此方法是因為很容易向數百萬潛在目標發送受感染的電子郵件。此外，最初的漏洞很小，很容易偽裝成Office文件。

和以往一樣，確保系統保持最新，並考慮投資Malwarebytes Premium——這是值得的！