梭子鱼安全预警:警惕新勒索软件传播尝试新的URL文件

最近，我们正在密切跟踪一个新的网络安全威胁。目前已经发现攻击者以粗心或者非专业的用户作为目标，尽可能的分发勒索软件和其他形式的恶意软件。

该威胁突出特性: 攻击者使用多种技术, 试图运行一个名为“Quant Loader”的木马程序，来分发勒索软件和密码窃取程序。

相关详细说明：

当使用电子邮件时, 一个陌生的文件扩展名--尤其是在ZIP文件中被单独压缩的文件—常常是新的恶意软件的潜在迹象。这次也不例外, 某电子邮件声称是上个月的账单文件，其中包含压缩后的“.url”互联网快捷方式文件扩展名。这些快捷文件使用是已被证实的CVE-2016-3353漏洞的变体, 其中包含到 JavaScript文件 (以及多个最近发现的恶意Windows 脚本文件) 的链接。但是, 在这个例子中, URL的前缀是 "file://" 而非 "http://", 它通过 Samba 而不是通过 Web 浏览器获取它们。尽管在执行该脚本文件之前会提示用户，但是这仍然有助于在当前用户的配置文件下使用Windows脚本执行其中包含的恶意代码，而不必利用浏览器渗透。远程脚本文件为严重混淆，但是一旦用户允许执行该脚本，就会导致Quant Loader木马被下载和运行。

根据过去的攻击案例显示, Quant Loader是一种通常用于分发恶意软件 (如勒索软件和密码窃取程序) 的特洛伊木马程序。它在地下论坛中被销售, 允许用户使用管理面板在用户被感染后配置负载。在售的可配置恶意软件正在变得越来越普遍, 这使得恶意软件的开发与分发环节分离。

执行该Windows脚本后，该脚本的进程由多个子进程组成--每一个都持续不到一天时间。它们利用仿冒的电子邮件内容和附件文件名称（有些电子邮件只有主题没有正文），一个在 Samba 上提供恶意脚本文件的域, 以及从少数几个域分发Quant木马的变体。

Samba 共享可以公开访问, 但仍处于活动状态, 如下图所示。有趣的是, 试图通过 HTTP 访问 URL 后, 有时会导致重定向, 从而导致下载随机密钥生成器文件。幸运的是, 这些通常被大多数防病毒软件标记为恶意文件。基于我们对该恶意软件的追踪研究, 它并非每天出现，但是在今年三四月份曾多次出现。

虽然攻击者试图设计一种新的方法来诱使用户感染自己, 但这往往会让那些具备安全知识的人更容易地发现它们。避免点击电子邮件中您不熟悉的文件类型是一个很好的起点, 当然，禁止电子邮件中的脚本运行也同样重要。许多技术利用社交软件和未经训练或粗心的用户, 并不是高度复杂的攻击。

综上所述, 这些攻击中常使用的方式包括：

网络钓鱼–发送电子邮件以引诱收件人按照攻击者的要求去操作

社交软件–攻击者与收件人进行接触，获得信任后，让收件人根据他们的恶意请求去操作

利用开发漏洞-CVE-2016-3353漏洞用于绕过浏览器并在用户空间执行恶意脚本

混淆视听-恶意脚本被充分混淆视听, 以阻止或减慢静态分析工作

采取行动：

用户安全意识培训——员工应定期进行培训和检测, 以提高他们应对各种针对性攻击的安全意识。模拟攻击训练是迄今为止最有效的训练形式. 梭子鱼的PhishLine解决方案是全面综合、兼容SCORM（美国的E-Learning标准）的用户培训和检测平台，可通过电子邮件、语音信箱和 SMS 的钓鱼模拟和其他一些有效的工具，来培训用户识别网络攻击，增强安全意识。

此外, 通过提供沙箱和高级威胁防御的电子邮件安全解决方案，可在恶意软件到达企业邮件服务器之前阻止。此外, 更好的防御包含恶意链接的邮件, 您还可以部署防网络钓鱼保护, 包括链接保护, 以查找指向包含恶意代码的网站的链接。即使这些链接被隐藏在文档内容中, 也可阻止用户链接到这些被破坏的网站。

实时防御鱼叉式网络钓鱼和网络诈骗 - 梭子鱼Sentinel是基于云的服务, 利用人工智能学习企业的通信历史，并预防未来的鱼叉式网络钓鱼攻击。其结合了三个强大的层:

人工智能引擎, 能实时阻止鱼叉式网络钓鱼, 并识别出公司内高危的个体用户;

使用 DMARC 身份验证防止域欺骗和品牌劫持的域欺诈;

针对高风险个体的欺诈模拟训练。