亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

2021第一季，疫情的影響似乎稍微趨緩，各國(guó)開始施打疫苗，為疫情的終結(jié)帶來(lái)一線曙光。一月及二月份，垃圾郵件與威脅郵件相較于去年第四季的狀況都是較為趨緩的；三月份的垃圾郵件及攻擊則明顯增多，相較于一、二月份大約增長(zhǎng)了30%-40%左右。守內(nèi)安與 ASRC 研究中心整理出的特殊攻擊樣本如下：

網(wǎng)絡(luò)服務(wù)使用依賴，導(dǎo)致釣魚風(fēng)險(xiǎn)大增

釣魚郵件在第一季樣貌多元，除了傳統(tǒng)常見宣稱電子郵件有問(wèn)題、驗(yàn)證與重啟賬戶、要求變更密碼…等，也發(fā)現(xiàn)了許多釣魚郵件的巧妙心思，例如：利用疫情期間網(wǎng)絡(luò)服務(wù)使用頻繁的假冒快遞、各種影音串流服務(wù)、工作招聘等的各種釣魚，目標(biāo)在釣取電子郵件賬號(hào)密碼、各種在線服務(wù)的登入信息；或誘騙受害人開啟郵件中的惡意文件、惡意鏈接，以便進(jìn)一步取得受害者計(jì)算機(jī)的控制權(quán)。

釣取電子郵件賬號(hào)密碼的釣魚郵件

假冒快遞的釣魚郵件，意圖誘導(dǎo)收件者點(diǎn)擊下載惡意文件

合法的服務(wù)持續(xù)遭到濫用，攻擊難以封鎖

封鎖惡意的去向或是來(lái)源，是信息安全防護(hù)的重要技巧。但有越來(lái)越多攻擊濫用了合法且知名的服務(wù)，例如：Google云盤、網(wǎng)頁(yè)窗體，或是一些云端主機(jī)的郵件派送服務(wù)等。這些遭到濫用的合法服務(wù)，大多為知名網(wǎng)絡(luò)服務(wù)提供商，不僅收件者會(huì)降低戒心，多數(shù)上網(wǎng)防御機(jī)制也會(huì)略過(guò)檢測(cè)，讓這類攻擊更加難以封鎖。

黑客利用 Google 窗體進(jìn)行網(wǎng)絡(luò)釣魚

惡意文件誘騙偽裝種類繁多

第一季觀察到許多使用社交工程手法，試圖誘使目標(biāo)對(duì)象下載并執(zhí)行惡意文件的攻擊。其中社交工程所利用的理由相當(dāng)多元，下方案例以薪資問(wèn)題為誘騙理由，要求受害者下載關(guān)聯(lián)附件查看。實(shí)際上，下載下來(lái)的是經(jīng)過(guò)打包的 PE 文件，主要組成為一個(gè) PE 文件 WeChatAppUpdates.exe、一個(gè)dll文件 OutlookUpdate.dll 及一個(gè)作為餌的 Word 文件。首先會(huì)執(zhí)行 WeChatAppUpdates.exe，WeChatAppUpdates.exe會(huì)先關(guān)閉宿主計(jì)算機(jī)上的Windows Error Reporting Service等服務(wù)，再啟動(dòng)常駐后門

試圖誘使目標(biāo)對(duì)象下載并執(zhí)行惡意文件的攻擊

值得注意的是，這個(gè)下載的惡意執(zhí)行文件偽裝為 WORD 圖標(biāo)，并且以一長(zhǎng)串文字做為文件名，如不仔細(xì)觀察很難發(fā)現(xiàn)這并非 WORD 文件。且在不慎被執(zhí)行之后，也會(huì)開啟一個(gè) WORD 文件做為煙霧彈。因此，受害者遭到后門植入后也很難在第一時(shí)間察覺(jué)異狀。

圖標(biāo)偽裝為 WORD 文件，并以長(zhǎng)串文字命名，讓人不易察覺(jué)擴(kuò)展名為.exe

大量惡意的 Office 文件，通過(guò)遠(yuǎn)程加載惡意樣本躲避掃描

在第一季我們發(fā)現(xiàn)大量的惡意 Office 文件被散播。這些郵件以英文或多國(guó)語(yǔ)言撰寫，使用冒名的社交工程手法。這些惡意文件多半是 Office 文件以 ZIP 壓縮的 XML 包裹格式，如：.docx、xlsx…等。將打包惡意文件拆解開，我們發(fā)現(xiàn)共通的手法：在惡意文件\文件格式\_rels\webSettings.xml.rels文件內(nèi)，加載一個(gè)遠(yuǎn)程的惡意樣本文件。

惡意文件中，遠(yuǎn)程加載的惡意樣本

這個(gè)惡意樣本被放置于 ColoCrossing 虛擬主機(jī)上，最終會(huì)下載一個(gè) vbc.exe 并在宿主端運(yùn)行，伺機(jī)竊取宿主主機(jī)的機(jī)密文件。這類型的惡意郵件在 2021 年第一季大量被觀察到，若就這類惡意文件來(lái)做檢查，本身并沒(méi)有明顯的VBA或惡意代碼包含在其內(nèi)，因此有機(jī)會(huì)躲過(guò)某些掃描機(jī)制。

惡意文件偽裝為Office文件

總結(jié)

務(wù)必要特別留意遠(yuǎn)程下載惡意文件或程序的攻擊。這類攻擊，除了遠(yuǎn)程服務(wù)器可掌控下載者的IP、時(shí)間、地點(diǎn)、瀏覽器版本外，也可任意更改下載的樣本，讓信息安全研究單位不易取得樣本；這類社交工程手法融合下載惡意文件的攻擊有復(fù)雜化的趨勢(shì)，即便受害者已經(jīng)十分提防，也不見得能察覺(jué)自己下載并執(zhí)行了惡意文件。除了提高警覺(jué)、不打開、不下載來(lái)路不明的郵件與文件之外，萬(wàn)一在不慎打開不明文件后，發(fā)現(xiàn)不是自己所預(yù)期的資料，一定要特別留意。建議企業(yè)單位應(yīng)定時(shí)對(duì)內(nèi)部進(jìn)行信息安全檢測(cè)或掃描，確保企業(yè)內(nèi)部未被植入可長(zhǎng)期竊取信息的后門，并留意各項(xiàng)不尋常的異狀。

來(lái)源：安全牛