CloudEyE,也稱為 GuLoader,是一種下載器惡意軟體,它可以進入系統,然後下載竊取木馬、鍵盤記錄器和遠端存取工具 (RAT) 。 CloudEyE 使用 Visual Basic 編寫,主要使用 OneDrive 或 Google Drive 等合法伺服器來執行並向裝置傳送額外的有效負載。
CloudEye 主要是因為其滲透方法而有效。 這種形式的惡意軟體使用 Nullsoft 腳本安裝系統 (NSIS) 加殼程序,這是一種開源加殼程序,開發人員通常使用它來建立 Windows 安裝程式。 由於惡意軟體與 NSIS 一起打包,防毒軟體在 CloudEyE 滲透系統之前掃描和檢測它變得更加困難。
CloudEyE 使用 NSIS 加殼程式壓縮其有效負載,然後進一步加密其惡意軟體以提供額外的混淆層。 當有人將檔案下載到他們的電腦或裝置上時,GuLoader就會運行,解密其惡意軟體,解壓縮它,然後在系統上執行它以破壞裝置。
一旦進入裝置,CloudEyE 就可以提供對任意數量的附加程式的訪問,從而進一步危害系統,例如勒索軟體將你的裝置劫為人質或其他惡意軟體為威脅行為者提供對裝置的直接訪問。
CloudEye 能夠避免偵測的另一個原因是它使用三種方法來掃描虛擬化技術和沙盒:
有了這些掃描系統,偵測 CloudEyE 就變得極為困難,這使得網路安全研究人員幾乎不可能識別、隔離和研究惡意軟體以建立有效的防禦策略。
當個人從網路下載檔案而不先檢查其真實性時,他們可能會下載 CloudEyE 等惡意軟體。 例如,他們可以從收到的網路釣魚電子郵件中下載看似普通的 PDF 檔案。 事實上,該檔案可能是假的,其中實際上包含 CloudEyE 惡意軟體。
一旦他們將 GuLoader 下載到他們的系統上,它可能會導致以下問題:
由於 CloudEye 的偵測難度,因此無法監控其存在的系統可能會長時間內仍然受到入侵。 這可能意味著網絡安全團隊解決問題之前,都經歷了上述所有影響,而不僅僅是一種。
以下是一些有助於防範 CloudEyE 惡意軟體及其可能造成的損害的最佳實踐:
系統中存在 CloudEye 的最早跡象是啟動 VBScript 載入器,然後開始將惡意有效負載載載入系統的程序。 通過識別 VBScript 載入器並在其軌跡中停止它,您可以防止 GuLo ader 在系統上執行。
處理惡意軟體時最重要的步驟之一是確保盡快偵測到它。
早期偵測將為您的團隊提供所需的時間來建立有效的回應。 通過自動提取任何妥協指標,您將能夠盡快識別 CloudEye 的存在。
防止惡意軟體進入系統的最簡單方法是確保員工首先不會下載任何惡意檔案。 提供有關如何檢查文件以及在下載之前對所有文件運行惡意軟體掃描的重要性的教育將有助於減少您的業務遇到的事件數量。
端點資安將透過檢查您的業務接觸到的任何文件來為您的系統添加安全層。 當存在惡意軟體的提示或痕跡時,端點資安解決方案將阻止這些檔案的下載並防止其滲透。
CloudEyE (GuLoader) 惡意軟體是一種嚴重威脅,可能危害電腦系統並繼續存在於受感染的裝置上。 它能夠將其他惡意軟體下載到受感染的裝置上,這可能意味著一個小漏洞會變成全公司的網路安全問題。
Check Point Harmony是一個多層端點資安解決方案,可識別 CloudEyE 等惡意檔案並阻止它們進入您的系統。
作為動態解決方案, Harmony端點可以在企業環境中自動進行威脅偵測和預防。 透過Harmony 預訂免費示範, 詳細了解 端點如何確保您的業務安全。
反映意見