安全预警:留意基于文档的恶意软件
刘一一 | 2019-04-25 15:50
梭子鱼研究人员发现,近期基于文档的恶意软件的使用出现了惊人的新增长。最近的一份电子邮件分析显示,在过去12个月检测到的恶意文档中,有48%来源于文档。梭子鱼已识别了超过30万份恶意文档!
自2019年初以来,这类基于文档的攻击频率急剧上升。今年第一季度,在所有被检测到的恶意软件中,59%来源于文档,而前一年这一比例为41%。
首先,我们来详细了解一下基于文档的恶意软件攻击和解决方案,以便帮助进行检测和阻止。
下图为典型带有恶意软件的文档攻击样板
网络罪犯使用电子邮件发送包含恶意软件的文档,也称为恶意软件。通常情况下,恶意软件要么直接隐藏在文档本身之中,要么通过嵌入的脚本从外部网站下载。常见的恶意软件包括病毒、木马、间谍软件、蠕虫和勒索软件。
恶意软件攻击的现代框架
在数十年依赖于基于标记的方法之后(该方法只能在标记被导出后才能有效阻止恶意软件),安全公司现在考虑恶意软件检测时,会问“是什么使它具有恶意?”,而非“如何检测我知道具有恶意的内容?”重点是尝试在一个文档被标记为有害之前检测它可能造成危害的指标。
一种用于更好理解攻击的常见模型是网络杀伤链(Cyber Kill Chain),它是大多数攻击者破解某个系统时所采取步骤的七阶段模型:
· 侦察—目标的选择与研究
· 武器化—制造对目标的攻击,通常使用恶意软件和/或漏洞
· 交付—发动攻击
· 开发—利用攻击包中提供的漏洞
· 安装—在目标系统中创建持久性驻留
· 命令和控制—使用来自网络外部的持久性驻留
· 目标上的行动—达到目标(即攻击的目的),往往是泄露数据
大多数恶意软件以垃圾邮件的形式发送到广泛传播的电子邮件列表中,这些列表在地下网络中被出售、交易、聚合和修改。像正在进行的“性勒索诈骗”中使用的组合列表就是这种列表聚合和实际使用的范例。
现在攻击者已经有了潜在的受害者列表,使用社会工程让用户打开附加的恶意文档即可开始恶意软件运动(杀伤链的交付阶段)。Microsoft和Adobe文档类型是最常用的基于文档的恶意软件攻击的载体,包括Word、Excel、PowerPoint、Acrobat和PDF文档。
一旦打开文档,恶意软件就会自动安装,或者使用高度模糊的宏/脚本从外部源下载并安装恶意软件。偶尔会使用链接或其它可点击的项目,但这种方法在网络钓鱼攻击中比恶意软件攻击更常见。当恶意文档被打开时,正在下载并运行的可执行文件表示杀伤链中的安装阶段。
归档文档和脚本文档是另外两种最常见的基于附件的恶意软件传播方法。攻击者经常对文档扩展名进行欺骗,试图迷惑用户并让他们打开恶意文档。
现代恶意软件攻击非常复杂而且分为多层;用于检测和阻止它们的解决方案也是如此。
检测和阻止恶意软件攻击
黑名单—随着IP空间越来越有限,垃圾邮件制造者越来越多使用其自己的基础设施。通常,相同的IP使用足够长时间后,相对容易便第三方检测到并将其列入黑名单。即使是被入侵的网站和僵尸网络,一旦检测到足够多的垃圾邮件,也有可能通过阻止IP暂时阻止攻击。
垃圾邮件过滤器/网络钓鱼检测系统—虽然许多恶意邮件看上去令人信服,但垃圾邮件过滤器、网络钓鱼检测系统和相关安全软件可以捕捉到微妙的线索,以帮助阻止潜在的威胁信息和附件进入电子邮件收件箱。
恶意软件检测—对于附带有恶意文档的电子邮件,静态和动态分析都可以获取文档试图下载并运行可执行文件的指标,而这是任何文档都不应进行的操作。通常可以使用启发式或威胁情报系统标记可执行文件的URL。静态分析检测到的混淆也可以指示文档是否可疑。
先进的防火墙—如果用户打开恶意附件或点击路过式下载的链接,能够进行恶意软件分析的先进网络防火墙在可执行文件试图通过时对其进行标记,从而阻止攻击。
梭子鱼邮件安全网关可管理和过滤所有入站和出站电子邮件,保护企业免受因邮件而带来的网络威胁,避免数据泄露事件发生。梭子鱼邮件安全网关可防御入站恶意软件,垃圾邮件,网络钓鱼和DoS攻击等。同时,梭子鱼PhishLine还可提供员工安全意识培训,增强员工安全防范意识。
关于梭子鱼网络
梭子鱼网络秉承“复杂IT简单化”理念,为全球各行业组织提供性能卓越,简单易用,高效稳定的安全与存储解决方案。全球超过150,000家组织与机构选择信赖梭子鱼网络安全与存储解决方案,梭子鱼为用户提供真正的端到端的安全防护,同时支持硬件,虚拟,云端以及各类混合的灵活部署模式。梭子鱼以客户为中心的业务模式专注于提供高价值、基于用户的IT解决方案。
喜欢数码科技资讯的你,就记得点击订阅啦。
关注「锋潮评测室」微信公众号【微信号:fengchaopingceshi】,还会送上更多你想要的哦~