Entry № 402
释放器(Dropper)
释放器(Dropper) 是什么?
释放器(Dropper)一种用于在目标系统上安装("投放")其他恶意载荷的恶意软件,通常会先规避初始检测。
Dropper(释放器)是一种投放组件,自身就携带一份或多份嵌入式载荷,执行后将其释放到磁盘或内存中。与下载器不同,Dropper 不需要连接互联网获取下一阶段载荷。它常以带宏的文档、ISO/IMG 容器、签名安装包或被木马化的实用工具形式出现,通常会先进行反分析检测、显示诱饵内容、设置持久化与进程注入,然后才启动最终的恶意软件(信息窃取器、勒索软件、RAT 等)。防御措施包括邮件与网页过滤、附件沙箱化、应用程序白名单、行为型 EDR,以及禁用宏自动执行与 ISO 自动挂载。
● 示例
- 01
释放 Trickbot 或 Cobalt Strike 的 Emotet 恶意文档。
- 02
Qakbot 用来绕过 Mark-of-the-Web 的 ISO/LNK 投放器。
● 常见问题
释放器(Dropper) 是什么?
一种用于在目标系统上安装("投放")其他恶意载荷的恶意软件,通常会先规避初始检测。 它属于网络安全的 恶意软件 分类。
释放器(Dropper) 是什么意思?
一种用于在目标系统上安装("投放")其他恶意载荷的恶意软件,通常会先规避初始检测。
如何防御 释放器(Dropper)?
针对 释放器(Dropper) 的防御通常结合技术控制与运营实践,详见上方完整定义。
释放器(Dropper) 还有哪些其他名称?
常见的别称包括: 恶意软件投放器, 释放型木马。