日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
ASRC2021年第二季電子郵件安全觀察

根據(jù)ASRC研究中心 (Asia Spam-message Research Center) 與守內(nèi)安的觀察,2021年第二季度整體垃圾郵件量相較上一季增加50%,帶有Office惡意文件的攻擊郵件則較上一季增加3.5倍,脫機(jī)釣魚的數(shù)量成長了2.4倍;針對(duì)Microsoft Office漏洞利用則以CVE201711882及CVE20180802為主。以下針對(duì)第二季重要的攻擊手法與樣本進(jìn)行分析:

詐騙及釣魚郵件仍十分盛行

第二季全球疫情因?yàn)椴《咀兎N的關(guān)系,許多地區(qū)仍實(shí)施遠(yuǎn)程工作或在家上班。釣魚郵件看似威脅性不大,可一旦賬號(hào)密碼被釣,攻擊者即可能透過開放的遠(yuǎn)程工作對(duì)外服務(wù),及單一賬號(hào)認(rèn)證服務(wù)(SSO,Single sign-on)合法使用企業(yè)開放的服務(wù),而形成入侵企業(yè)的突破口。

釣魚及詐騙郵件在第二季非常盛行

連外下載的惡意Office文件

第二季,我們發(fā)現(xiàn)許多惡意的Office文件樣本。這些Office文件樣本的攻擊方式不利用漏洞,也未包含可疑的宏或VBA等操作,而是單純的利用XML連接外部開啟另一個(gè)惡意文件。這種樣本在今年初就開始流竄,到了第二季,有明顯增多的趨勢(shì)。

以訂單作為社交工程的手段,誘騙受害者開啟惡意文件

這種連外開文件的惡意Office文件樣本,多半以docx的方式夾在電子郵件的附件中,少數(shù)用xls及ppam的方式做夾帶。連外下載超鏈接會(huì)透過短網(wǎng)址,如:xy2.eu、bit.ly、linkzip.me、bit.do、u.nu、is.gd或其他經(jīng)過編碼的網(wǎng)址藏身;下載的惡意文件則多為 .wbk(Microsoft Word備份)、.wiz(Microsoft Wizard File)、.dot(Microsoft Word范本)、.doc,雖然有些類型的文檔不常見,但只要計(jì)算機(jī)安裝Microsoft Office相關(guān)的軟件,就能開啟這些惡意文件并執(zhí)行。惡意文件被執(zhí)行后,會(huì)向中繼主機(jī)抓取vbc.exe或reg.exe并執(zhí)行,接著成為常駐的后門程序。

雙擴(kuò)展名的惡意文檔

第二季出現(xiàn)不少雙重?cái)U(kuò)展名的攻擊性電子郵件。由于部分自動(dòng)程序或操作習(xí)慣的緣故,會(huì)出現(xiàn)一個(gè)檔案看似有兩個(gè)擴(kuò)展名,而計(jì)算機(jī)對(duì)于這種檔案的判讀是以最后一個(gè)擴(kuò)展名為主。

以下整理出需要特別留意的雙重?cái)U(kuò)展名:

其中比較特別的是.pdf.ppam的攻擊,這種攻擊利用鏈接至一個(gè)短網(wǎng)址,再轉(zhuǎn)向Google的blogspot服務(wù),透過解碼blogspot服務(wù)暗藏的信息,再連往俗稱「網(wǎng)站時(shí)光機(jī)」archive.org的服務(wù)下載攻擊程序。這種種的行為,都是為了躲開一層層的信息安全防護(hù)關(guān)卡。

.pdf.ppam的攻擊附件被執(zhí)行后,會(huì)透過暗藏的vba向外下載惡意文件

暗藏的vba連往bitly.com的短網(wǎng)址位置

短網(wǎng)址指向空白內(nèi)容的Google blogspot頁面

玄機(jī)藏在網(wǎng)頁的原始碼中,惡意程式的編碼文件,被放在俗稱「網(wǎng)站時(shí)光機(jī)」archive.org的合法服務(wù)內(nèi)

編碼文件進(jìn)行譯碼,可看到完整的攻擊程序

結(jié)語

綜合上述樣本的攻擊來看,使用不易偵測(cè)的手法來躲避觸發(fā)安全警報(bào)是攻擊者的趨勢(shì),但我們從這些樣本也發(fā)現(xiàn),由于過度的迂回,及使用模糊的合法服務(wù),這些都會(huì)與企業(yè)一般的溝通互動(dòng)行為相違背。因此,防護(hù)的安全策略,就可以從這些差異中被制定出來!

除了上述介紹的攻擊樣本外,我們也看見了加入更多混淆的CVE201711882攻擊行為,因此安全設(shè)備的特征更新不可或缺;而在某些攻擊郵件的標(biāo)頭,有時(shí)也能發(fā)現(xiàn)被隱藏的重要信息,比方References的標(biāo)頭有時(shí)會(huì)透露出同樣遭受此波攻擊的受害者或企業(yè),在調(diào)查事件時(shí)便可對(duì)攻擊者的目的進(jìn)行推演。

通過專業(yè)的網(wǎng)站建設(shè)開發(fā)服務(wù),幫助企業(yè)打造獨(dú)特的品牌形象,提高市場(chǎng)競(jìng)爭(zhēng)力。成都網(wǎng)站開發(fā),十年建站經(jīng)驗(yàn),讓您的網(wǎng)站更省心省時(shí),更省力我們更專業(yè),創(chuàng)新互聯(lián)為您提供更省時(shí)更放心的建站方案。


網(wǎng)頁標(biāo)題:ASRC2021年第二季電子郵件安全觀察
當(dāng)前路徑:http://www.5511xx.com/article/dhpphdi.html