近期威胁预警:通过启动附件窃取密码

本月初,梭子鱼推出了一个新的平台——梭子鱼智能安全透视平台,它提供实时威胁警报和风险等信息, 以帮助企业和业内人士增强对当前 IT 安全威胁内容的持续认识

本月初, 我们推出了一个新的平台——梭子鱼智能安全透视平台,它提供实时威胁警报和风险等信息, 以帮助企业和业内人士增强对当前 IT 安全威胁内容的持续认识。我们很荣幸该平台是免费的,任何能访问互联网的人都可以通过它来检查可能存在的潜伏的各种网络威胁。

比如, 当我们发现PDF文档中包含恶意软件呈上升趋势时,那么梭子鱼智能安全透视平台会将该威胁标记为“关键警报” 并描述该威胁,提示客户应该避免什么。针对本月的威胁预警,通过查看最近被梭子鱼智能安全透视平台标记的 "关键警报", 发现有通过启动附件的 Word 或 Excel 文档 (声称是纳税表单或其他正式文档) 来窃取用户密码的威胁存在。犯罪分子经常以用户的密码和身份信息为目标;然而, 我们仍可持续看到犯罪分子想出巧妙的方法来诱骗的用户泄漏他们的敏感信息。以下是我们这次发现的具体威胁信息:

高度威胁预警:

密码窃取——犯罪分子通过用户端启动常见类型的文件附件来窃取其密码。

详细信息:

犯罪分子经常针对他们的目标不断地分发各种不同类型的恶意软件, 通常都是与钱或利益挂钩。虽然勒索软件是实现这一目标的常用手段, 但劫持数据获得赎金并不是恶意软件传播的唯一目的。企业不断尝试获得更多的消费者信息, 以便针对投放广告和挖掘目标用户数据,而且保密的信息更有价值。犯罪社区上有一个发展蓬勃的”窃得密码”的黑市, 使恶意软件可获得这些密码后从而获利。广泛使用的软件保存的密码 (例如常见的浏览器)有很大的风险,即使是密码管理解决方案也极不安全, 因为大量的密码已经在这些用户的计算机,只是在等待被盗。

接下来例举一些实例,其中包括犯罪分子想窃取用户的密码例子。示例1, 攻击者试图诱惑收件人打开附件,因此经常使用紧急类的字眼使邮件显得重要。此外, 还有些会将附件命名为 "taxletter", 使其看起来像是一个重要的税务表单。最后, 采用 Word 文档形式作为附件, 攻击者通过这些常用的文件类型增加了被打开的可能性。

近期威胁预警:通过启动附件窃取密码

示例2也是来自电子邮件, 攻击者试图使他们的消息和附件看起来很重要, 声称是一个 PO附件。与上述不同的是:此时附件是一个 Excel 文件, 当然也是人们熟悉的一种常见的文件类型-- 使人们不太可能怀疑其具有任何恶意内容。

近期威胁预警:通过启动附件窃取密码

不幸的是, 在这两个示例中-如果用户实际上打开了这些附件, 那么他们的密码就很可能被盗。我们是如何获知这些攻击行为的呢?

密码窃取的演变

用户为了方便起见而保存常用密码这一技术习惯出现和流行之前, 密码窃取需要首先用恶意软件感染用户,记录用户的键盘输入并定期通过网络上传分析来获取。尽管这种技术仍在使用, 但它产生的异常网络流量增加了在密码窃取前被发现的可能性。随着密码保存功能的出现和频繁使用,恶意软件可以简单地打破任何密码存储安全机制来获取密码, 并立即上传。这使得在网络级别检测变得更加困难, 因为在密码被外传时只有一个瞬时的网络通信量被识别到。 不同于以往周期性有网络通信的的键盘记录恶意软件可比较容易被识别检测,这一新的密码窃取(恶意软件)很难被发现和阻断。

不管是什么手段, 一旦密码被盗, 犯罪分子可以根据他们提供的访问权来获取利益(金钱)。银行密码显然是最容易被货币化, 因为犯罪分子可以简单地把资金从你的帐户转移, 甚至比电子邮件和社交媒体密码都更有价值。大多数电子邮件和社交网络帐户提供了访问更多的用户, 可以直接收到垃圾邮件或鱼叉式钓鱼邮件, 以及这些用户的电子邮件地址可能是可用的, 这也可以添加到列表中, 并出售给垃圾邮件发送者。被黑客攻击的电子邮件帐户也通常可被用来试图欺骗账户中保存的联系人,以冒充帐户所有者, 并声称其被困在国外, 需要钱返回家园。Windows 登录密码也可能是目标, 不仅是因为有可能重新使用密码来登录该帐户, 而且还可以在业务计算机受到危害时对企业内部的网络和资源进行潜在的威胁访问。

与一般的恶意软件一样, 密码窃取者有多种分发方法, 其中大部分涉及包含附件或 URL 的网络钓鱼电子邮件。由于在电子邮件服务器上检测恶意附件比在用户的计算机更容易、更高效,因此攻击者们使用各种不同的文件类型和分发方法来试图规避这种安全阻拦。 如果只是简单地阻止某些文件类型,这显然是非常天真的方法。密码窃取者可以很方便的将文档压缩成存档格式文件, 以规避按文件类型的阻止-有时甚至使用假的文件扩展名, 仍然可被在所需的存档软件中打开文件。但是, 使用受信任的文件类型来规避服务器检测并在用户执行文件时下载恶意软件也是很常见的。具有下载密码窃取功能的宏的 Microsoft Word 和 Excel 文档非常常见, 并且比发送秘密窃取恶意软件本身更难检测。虽然这些缺点是宏必须由用户运行, 但社会工程学被攻击者利用来诱使让用户这样做。

综上所述, 在这些攻击中常使用类型有:

· 网络钓鱼:攻击者发送电子邮件, 诱使收件人打开包含恶意内容的附件。

· 伪装:恶意附件被伪装成正式文件, 如重要的纳税表格。

· 避免检测: 攻击者使用可信文件类型 (如 Word 和 Excel), 希望能够规避服务器检测。

如何应对:

培训用户安全意识—应定期对员工进行安全培训和测试,以提高他们对各种目标攻击的网络安全认识。模拟攻击训练是迄今为止最有效的培训。

分层员工培训,并结合通过提供沙盒和高级威胁防御的电子邮件安全解决方案,在恶意软件到达企业邮件服务器之前阻止它;并且还要防护包含恶意链接在内的其它邮件安全威胁。 您可以部署网络钓鱼防护(包括链接保护), 以查找指向包含恶意代码网站的链接;即使这些链接被隐藏在文档内容中也能被阻拦。

实时鱼叉式网络钓鱼攻击和网络欺诈防御——梭子鱼 Sentinel是一个云服务, 利用人工智能来保护企业的通信历史记录和防止网络钓鱼攻击。它结合了三个强大的功能: 一个人工智能引擎, 它能实时阻止鱼叉式网络钓鱼攻击, 并识别出公司内部高危人群;使用 DMARC 身份验证能防止域欺诈和品牌劫持的风险;以及针对高危人群的欺诈模拟训练。

来源:业界供稿

0赞

好文章,需要你的鼓励

2018

03/15

14:30

分享

点赞

邮件订阅
白皮书