恶意软件Hancitor仍在不断发展 诱饵文档散布全球Web服务器

在过去的两年中，Palo Alto Networks公司的威胁研究团队一直在跟踪通过垃圾电子邮件传播的恶意软件Hancitor。事实证明，它已经在多年的发展中得到了“进化”。

Hancitor，也被称为Chanitor或Tordal，是一个基于宏的恶意软件，通过分布在垃圾电子邮件活动中的Microsoft Office文档传播。

Hancitor被设计为充当其他恶意软件的下载器，最终通过其他恶意软件感染Windows计算机，这通常是银行木马或者勒索软件（如Pony、Vawtrak和DELoade）。

该研究团队表示，Hancitor的影响相当有限。在默认配置的Windows 10主机上，它很容易被微软内置的Windows Defender反病毒工具检测到。此外，许多电子邮件过滤器也能够检测出这些垃圾电子邮件。

那么Hancitor究竟对谁有效？一个理想的目标受害者便是运行Windows 7过时版本的计算机用户，如禁用了反病毒的Windows 7。

该研究团队在博客文章中报告说，他们每个月都会检测到数百个Hancitor样本。根据2017年收集到的数据。

最初，Hancitor运营团队仅利用垃圾电子邮件附件来感染受害者。但近年来电子邮件过滤已经有所改善，目前大多数企业级安全解决方案都不断升级，可以轻松检测出恶意文件，并最终影响攻击者的活动成功率。

为了进一步逃避检测，自2016年底以来，Hancitor运营团队在感染过程中迈出了重要的一步。电子邮件中的链接不再是指恶意附件，而是指向托管那些用于分发Hancitor诱饵文档的Web服务器。

这些Web服务器要么是被Hancitor运营团队劫持的（攻击主要针对亚洲地区国家中小型企业的合法网站），要么是通过托管服务商建立的欺诈账户（这种情况主要位于美国），分布在全球多个国家和地区。

截至2017年12月，诱饵文档已经明显表现出主要通过托管服务提供商的欺诈账户进行分发。但会在感染成功后，会从其他Web服务器下载更多的恶意软件，而这些Web服务器通常也是合法网站。

该研究团队总结说，Hancitor分发活动其中一个关键因素则是在全球范围内易受攻击服务器的大量存在，以至于网络犯罪集团可以通过劫持它们来托管恶意软件。另外，运行旧版Windows 系统的计算机用户可能不得不为应对类似Hancitor这样的恶意软件付出更多的精力。

内容来源：cnnvd

优炫操作系统安全增强系统（Rock Solid Core Data Protection System，简称RS-CDPS）通过安装在服务器的安全内核保护服务器数据，通过截取系统调用实现对文件系统的访问控制，以加强操作系统安全性。它具有完整的用户认证，访问控制及审计功能，不用更改操作系统就可以安装，提供信息系统主动防护功能，操作方便、易于系统管理和安全管理。可对UNIX类、LINUX类、WINDOWS类各种操作系统进行统一管理，为管理人员提供方便，可以保障客户的服务器安全、持续、长效运行。