最近,梭子魚正在密切跟蹤一個新的網絡安全威脅。目前已經發現攻擊者以粗心或者非專業的用戶作為目標,儘可能地分發勒索軟件和其他形式的惡意軟件。
該威脅的突出特性: 攻擊者使用多種技術, 試圖運行一個名為“Quant Loader”的木馬程序,來分發勒索軟件和密碼竊取程序。
相關詳細說明:
當使用電子郵件時, 一個陌生的文件擴展名--尤其是在ZIP文件中被單獨壓縮的文件,常常是新的惡意軟件的潛在跡象。這次也不例外, 某電子郵件聲稱是上個月的賬單文件,其中包含壓縮後的“.url”互聯網快捷方式文件擴展名。這些快捷文件使用是已被證實的CVE-2016-3353漏洞的變體, 其中包含到 JavaScript文件 (以及多個最近發現的惡意Windows 腳本文件) 的鏈接。但是, 在這個例子中, URL的前綴是 "file://" 而非 "http://", 它通過Samba而不是通過Web瀏覽器獲取它們。儘管在執行該腳本文件之前會提示用戶,但是這仍然有助於在當前用戶的配置文件下使用Windows腳本執行其中包含的惡意代碼,而不必利用瀏覽器滲透。遠程腳本文件為嚴重混淆,但是一旦用戶允許執行該腳本,就會導致Quant Loader木馬被下載和運行。
根據過去的攻擊案例顯示, Quant Loader是一種通常用於分發惡意軟件 (如勒索軟件和密碼竊取程序) 的特洛伊木馬程序。它在地下論壇中被銷售,允許用戶使用管理面板在用戶被感染後配置負載。在售的可配置惡意軟件正在變得越來越普遍, 這使得惡意軟件的開發與分發環節分離。
執行該Windows腳本後,該腳本的進程由多個子進程組成,而每一個都持續不到一天時間。它們利用仿冒的電子郵件內容和附件文件名稱(有些電子郵件只有主題沒有正文),一個在 Samba上提供惡意腳本文件的域, 以及從少數幾個域分發Quant木馬的變體。
Samba共享可以公開訪問, 但仍處於活動狀態, 如下圖所示。有趣的是,試圖通過HTTP訪問URL後, 有時會導致重定向, 從而導致下載隨機密鑰生成器文件。幸運的是, 這些通常被大多數防病毒軟件標記為惡意文件。基於梭子魚對該惡意軟件的追蹤研究, 它並非每天出現,但是在今年三四月份曾多次出現。
雖然攻擊者試圖設計一種新的方法來誘使用戶感染自己, 但這往往會讓那些具備安全知識的人更容易地發現它們。避免點擊電子郵件中您不熟悉的文件類型是一個很好的起點。當然,禁止電子郵件中的腳本運行也同樣重要。許多技術利用社交軟件和未經訓練或粗心的用戶, 並不是高度複雜的攻擊。
綜上所述, 這些攻擊中常使用的方式包括:
網絡釣魚——發送電子郵件以引誘收件人按照攻擊者的要求去操作;
社交軟件——攻擊者與收件人進行接觸,獲得信任後,讓收件人根據他們的惡意請求去操作;
利用開發漏洞——CVE-2016-3353漏洞用於繞過瀏覽器並在用戶空間執行惡意腳本;
混淆視聽——惡意腳本被充分混淆視聽, 以阻止或減慢靜態分析工作。
採取行動:
用戶安全意識培訓——員工應定期進行培訓和檢測, 以提高他們應對各種針對性攻擊的安全意識。模擬攻擊訓練是迄今為止最有效的訓練形式. 梭子魚的PhishLine解決方案是全面綜合、兼容SCORM(美國的E-Learning標準)的用戶培訓和檢測平臺,可通過電子郵件、語音信箱和 SMS 的釣魚模擬和其他一些有效的工具,來培訓用戶識別網絡攻擊,增強安全意識。
此外, 通過提供沙箱和高級威脅防禦的電子郵件安全解決方案,可在惡意軟件到達企業郵件服務器之前阻止。此外, 更好的防禦包含惡意鏈接的郵件, 您還可以部署防網絡釣魚保護, 包括鏈接保護, 以查找指向包含惡意代碼的網站的鏈接。即使這些鏈接被隱藏在文檔內容中, 也可阻止用戶鏈接到這些被破壞的網站。
實時防禦魚叉式網絡釣魚和網絡詐騙——梭子魚Sentinel是基於雲的服務, 利用人工智能學習企業的通信歷史,並預防未來的魚叉式網絡釣魚攻擊。
其結合了三個強大的層: 人工智能引擎, 能實時阻止魚叉式網絡釣魚, 並識別出公司內高危的個體用戶;使用DMARC身份驗證防止域欺騙和品牌劫持的域欺詐;針對高風險個體的欺詐模擬訓練。
閱讀更多 濤哥說事 的文章
