微軟官方詳細分析Fireball惡意軟體，其實它沒那麼可怕

了解網路安全威脅的變化，了解攻擊的規模和範圍，以及通過下一代技術破壞網路犯罪活動一直以來都是Microsoft Windows Defender Research日常工作的基礎部分。

因此，當最近有關「Fireball」網路安全威脅操作的報道被提出作為一個新的發現時，我們團隊認為需要對此情況作出一些分析說明，因為我們知道的與所報道的可能有所不同。事實上，我們自2015年以來一直在追蹤這一威脅。雖然這一威脅是真實的，但我們認為報道可能將這一威脅有所誇大。

隨著Fireball套件中的惡意軟體和惡意軟體家族群體的不斷發展，我們的防護和防禦也隨之而來。通過Windows Defender Antivirus和Microsoft 惡意軟體刪除工具（MSRT）， Windows用戶將會獲得保護。作為另一個保護層，Windows 10隻允許來自Windows Store的應用程序運行。商店中不存在這些惡意軟體和不需要的軟體，因此Windows 10 S用戶可以進一步受到我們的保護。

Fireball套件

一開始Fireball感染用戶完全通過軟體捆綁。他們都是通過瀏覽器下載的程序，並且通常是在尋找可疑的應用程序或媒體（盜版應用程序，遊戲，音樂或視頻，密鑰或者破解等）時被感染。

Fireball套件一般帶有乾淨的程序。該套件使用這些乾淨的程序作為主機進程來載入其惡意代碼以試圖逃避基於行為的檢測。

在近三年的時間裡，我們跟蹤了這組威脅和他們安裝的其他惡意軟體，觀察到該惡意軟體的組件被設計為在受感染的機器上持續存在，然後通過廣告獲利，或者劫持瀏覽器搜索和主頁設置。

Fireball套件中最流行的系列是BrowserModifier：Win32 / SupTab和BrowserModifier：Win32 / Sasquor。

以上關係圖顯示，軟體捆綁器（如ICLoader）可以安裝Sasquor，Sasquor安裝了Xadupi，後者又安裝了SupTab。Xadupi也可以由軟體捆綁軟體直接安裝，如ICLoader。

Fireball的主要payload是劫持瀏覽器的主頁和默認的搜索設置。它可以通過直接修改瀏覽器的設置或繞過設置（例如，更改用於啟動瀏覽器的快捷方式）來實現。

因此，即使未經您的同意，惡意軟體的搜索頁面仍會進行載入，而該惡意軟體的創建者則會通過頁面進行的搜索獲得收入。

估計訪問和實際感染之間的差異

在報道中所提的報告中，Check Point根據對搜索頁面的訪問次數估算出Fireball惡意軟體的大小，而不是通過收集端點設備數據。但事實上，使用這種現場訪問技術來估計受感染機器的數量可能存在一些棘手的問題：

1、不是每個訪問這些網站的機器都感染了惡意軟體。無論用戶到達該頁面如何，搜索頁都會獲得收入。有些可能是由普通網頁瀏覽中沒有感染的用戶載入。

2、這一估算是從分析Alexa排名數據而得出的，而這事實上是根據互聯網用戶的一小部分訪問者人數來進行估計的。Alexa的數據計算是基於正常的網頁瀏覽。它們不是由惡意軟體感染產生的流量，比如Fireball威脅，僅針對Google Chrome和Mozilla Firefox。Alexa對Fireball域名的流量估計與Alexa的競爭對手SimilarWeb就完全不同。

目前，我們已經致信Check Point，並要求仔細觀察他們的數據。

而在另一方面，自2015年以來，通過從3億台Windows Defender AV客戶端收集到的情報，再加上從2016年10月以來MSRT對5億多台機器的月度掃描，我們現在已經完全可以看到Fireball威脅的實際規模。

2016年10月的高峰反映了當我們將SupTab家族添加到MSRT時的情況。

當Sasquor家庭被添加到MSRT時，2016年10月的飆升發生了。對於Sasquor，我們看到的並不像SupTab那樣突出。在我們在MSRT中添加Sasquor檢測之前，Sasquor不會被SupPab分發。

Fireball操作背後的一整套惡意軟體家庭在三個版本的過程中被添加到MSRT：2016年9月，2016 年10月和2017年2月。

我們在2016年10月和2017年2月發布的MSRT博客文章介紹了惡意軟體和不需要的軟體系列及其關係的詳細信息：

下圖表顯示了MSRT在添加了四個最流行的Fireball家庭乾淨的機器數量以及Fireball套件的全球流行率：

關於Fireball感染的注意事項

了解感染鏈並了解Fireball套件的行為有助於我們解決問題並保證您的使用體驗。目前我們還沒有看到Fireball的策略有任何變化。以下Windows 10保護組件有助於解決這一威脅：

1、Microsoft Edge不受Fireball使用的瀏覽器劫持技術的影響。

2、通過Windows Defender AV和Microsoft 惡意軟體刪除工具（MSRT），我們通過以下方式清除了現有的感染並減少了威脅分布：

識別正在安裝惡意軟體的捆綁包n確保捆綁包停止包含捆綁中的威脅n封鎖捆綁商自己n

3、Windows 10 S專門針對來自Windows Store的應用程序。因此，本文中描述的特定威脅在Windows 10 S上不起作用，也不會依賴較不可信賴的軟體分發機制提供不必要或意外功能的其他類似威脅。

然而，這些威脅今天仍然在積極發展和分配，我們將繼續監測和提供保護。

預防、檢測和恢復

1、Fireball的感染鏈包括惡意軟體和軟體捆綁軟體，默默安裝其他應用程序。您需要安全的解決方案來檢測和刪除此類感染的所有組件。

2、確保您獲得最新的Microsoft保護。保持Windows操作系統和防病毒軟體，如Windows Defender AV和Microsoft 惡意軟體刪除工具（MSRT），是最新的。如果還沒有，請升級到Windows 10。

3、在Windows Defender Antivirus中，您可以檢查您的排除設置，以查看惡意軟體是否添加了一些條目以嘗試排除文件夾被掃描。檢查和刪除排除的項目：導航到設置 > 更新和安全 > Windows Defender > Windows Defender安全中心 > 病毒和威脅防護 > 病毒和威脅防護設置。在排除項下，點擊添加或刪除排除。點擊+查看選項列表，您可以在其中選擇要刪除的排除項目。

4、通過利用雲的強大功能，實時獲得最新的惡意軟體威脅。Microsoft Security Essentials和Windows Defender for Windows 10默認情況下已啟用。轉到設置 > 更新和安全性 > Windows Defender > Windows Defender安全中心 > 病毒和威脅防護 > 病毒和威脅防護設置，並確保實時保護，基於雲的保護並設置自動提交樣本。

5、使用「設置」應用程序重置為Microsoft推薦的默認值，可能已被Fireball套件中的惡意軟體更改。要配置，請轉到設置 > 應用程序 > 默認應用程序，然後單擊重置。

6、對於企業而言，使用Device Guard，可以鎖定設備並提供基於內核級別的基於虛擬化的安全性，並且只允許可信應用程序運行。

7、使用Windows Defender高級威脅防護來獲取有關可疑活動的警報，包括下載惡意軟體，以便您可以檢測，調查和響應企業網路中的攻擊。同時免費評估 Windows Defender高級威脅防護。

如若轉載，請註明原文地址： 微軟官方詳細分析Fireball惡意軟體，其實它沒那麼可怕 - 嘶吼 RoarTalk 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀：