老式攻击的强大持续性是如何进化而成的?

近日,趋势科技根据所捕获的Smart Protection Network(SPN)数据和来自北美地区的Managed Detection and Response(MDR)的数据,发明老式进击不停持续存在着,且生命力茂盛,比如垃圾邮件等传播要领依然强劲,而打单软件进击又抖擞出新的生气愿望,别的2018年第三季度的监测数据也显示,掘客加密泉币的恶意软件的新式进击的数量也急剧增添。

然而,钻研职员却发明,这些旧要挟不停持续存在着,且生命力茂盛,安防职员不要误解为幕后开拓者或进击者有满意于现状的迹象。事实上,这是他们在赓续改进已被证实有效的对象和技巧,以便在收集罪犯和安然供给商之间无休止的获取主动进击权的征兆。

此中垃圾邮件是传播恶意软件的首选措施

2018年第三季度北美地区排名前15位的恶意软件

基于云安然智能防护收集(SPN)的监测数据,本季度北美地区排名前15位的恶意软件异常多元化。可以看到排名第一的是EMOTET恶意软件,其次是掘客加密泉币的恶意软件COINHIVE。木马POWLOAD和被称为AMCleaner的潜在不受迎接的利用法度榜样(potentially unwanted application ,PUA)分手排在第三和第四位。

使用敲诈性垃圾邮件实施钓鱼进击,可以将许多进击力很大年夜的恶意软件的效用发挥大年夜最大年夜。别的,之以是钓鱼进击很普遍,是由于它们很少必要繁杂的对象才能进行进击,而且它们之以是有效,是由于进击者只必要懂得人类的行径以及诱使毫无戒心的用户点击链接或下载恶意附件即可。

钻研职员在第三季度发明的垃圾邮件进击活动注解,进击者已经在逐步的改进钓鱼软件的传播措施。下面的三个示例显示了进击者是若何以不合要领应用单个进击向量。一种是范例的收集钓鱼考试测验,所有的进击元素都在这些类型的进击中被发明;而另一种则应用仍旧证实有效的旧恶意软件;着末一个示例涉及一种新的,奇妙的技巧,使用电子邮件挟制和现有对话来进击用户。

发生在加拿大年夜的收集钓鱼活动

以发生在加拿大年夜的收集钓鱼活动为例,看看进击者是若何应用与税收相关的PDF文件作为诱饵的。与大年夜多半收集钓鱼进击一样,电子邮件是钓鱼进击情形中应用的主要进击进口。乍一看,该电子邮件来自彷佛是合法确政府机构:“加拿大年夜税务局(CRA)”,以致还有一个PDF文档附件,文件名为CRA-ACCESS-INFO.pdf。此电子邮件包孕一条捏造的虚假消息,看护收件人CRA已向他们发送了INTERAC电子转帐,可经由过程此中的阐明转账或点击PDF中嵌入的链接来存入资金。

冒充成来自CRA的电子邮件的收集钓鱼进击

如上图所示,PDF邮件正文包孕一个“请存入资金”的标签,该标签链接到一个将受害者重定向到收集钓鱼页面的恶意URL。然后,收集钓鱼页面会反省受害者的有关IP地址的地舆位置的信息。假如发明IP地址的地舆位置与计划中的目标区域(比如本文中为北美)匹配,则会重定向到要求用户输入小我具体信息和财务凭证的页面,否则,它将重定向到YouTube。钻研职员在北美地区看到的所有这类钓鱼进击都有着异常同等的模式,所有进击样本的电子邮件和附件都是相同的。

在电子邮件中找到的Interac公司是一个合法的加拿大年夜借记卡公司,它将金融机构和其他企业联系起来,以便互换进行电子金融买卖营业。Interac作为加拿大年夜借记卡系统,具有广泛的可吸收性,靠得住性,安然性和效率。该组织是加拿大年夜领先的支付品牌之一,匀称天天应用它进行支付和兑换泉币的次数达到1600万次,进击者应用这样一个受大年夜乡相信的金融机构就增添了收集钓鱼邮件得“合法性”。

应用EMOTET有效载荷的垃圾邮件

EMOTET是跟着光阴的推移而成长的恶意软件的完美示例。

趋势科技的安然团队早在2014年头?年月次发明EMOTET木马应用收集嗅探技巧偷取数据,最初是一种银行木马,但在之后的几年里EMOTET体现得并不生动且逐步开始淡出人们的视线。

但在2017年8月份,趋势科技又发清楚明了EMOTET,并具体先容了EMOTET的四个完全不合类型的变种TSPY_EMOTET.AUSJLA、TSPY_EMOTET.SMD3、TSPY_EMOTET.AUSJKW、TSPY_EMOTET.AUSJKV,这些变种的进击目标分手是美国、英国和加拿大年夜。自2018年2月以来,Emotet不停在应用其加载法度榜样功能来传播Quakbot系列恶意软件,该系列的行径模式类似于收集蠕虫。此外,Emotet还在传播Ransom.UmbreCrypt打单软件和其他恶意软件(如DRIDEX)。Emotet还加强了其功能和策略,包括应用第三方开源组件。比如,Emotet在Google的原型法度榜样上构建了一个通信协议,该协议应用Lempel-Ziv-Markov(LZMA)压缩,LZMA是一种用于履行无损数据压缩的链算法。

近来,钻研职员又发清楚明了大年夜量的EMOTET垃圾邮件活动,应用各类社交工程措施来诱应用户下载和启动其恶意载荷,平日采纳恶意MS Word或PDF文档的形式。

多态性和类蠕虫功能的结合使其能够快速传播到收集中,而无需任何其他用户交互。EMOTET的坚强生命力让任何专业的安然保护组织都认为棘手,分外是在斟酌它可能对组织孕育发生的影响时。除了信息偷取之外,EMOTET还可以对收集根基举措措施造成严重破坏并激发账户冻结,让企业承受金钱和声望丧掉。

使用被挟制的电子邮件传播URSNIF

URSNIF是一种银行木马,会偷取敏感资料并在受影响的主机上网络数据,包括电子邮件凭据、证书、浏览器cookie和来自webinjects的财务信息。钻研职员近来发清楚明了一个新的进击系列,该进击系列使用被挟制的合法电子邮件来发送URSNIF。在今年9月监测到的恶意邮件活动却注解,进击者正在采取更为繁杂的收集钓鱼形式。该恶意活动会挟制电子邮件账户,并对邮箱中已有的邮件内容进行回覆,在回覆的内容中附带恶意软件。对已有邮件的回覆,实际上是继续通信中的一部分,是以这种特殊的钓鱼要领难以被用户发明,也难以检测。平日,受害者都没故意识到他们正在遭受钓鱼邮件的要挟。这些进击与今年早些时刻Talos发明的URSNIF/GOZI恶意邮件活动异常相似,该恶意活动应用暗云僵尸收集中部分被挟制的谋略机向已有邮件发送复书,很可能是URSNIF/GOZI恶意邮件活动的进级版本或蜕变版本。根据迄今为止网络到的数据,我们发明该恶意活动主要影响北美和欧洲地区,同时在亚洲和拉丁美洲地区也发清楚明了类似的进击。本次恶意活动的主要目标是教导、金融和能源行业。然而,这次恶意活动还影响到了其他行业,包括房地产、交通运输、制造业和政府。值得留意的是,恶意垃圾邮件是作为正在进行的对话的一部分发送的,这使得目标用户更难以检测到。此进击系列与商业电子邮件进击(BEC)有一些相似之处,但没有电汇敲诈。

[1] [2]下一页

打单软件仍旧生命力茂盛

2018年第三季度北美地区的打单软件成长趋势

GandCrab打单病毒是2018年所发明的最盛行的一种病毒,它于2018年01月面世,短短几个月的光阴,就迭代了3次。第一次是由于其C&C被安然公司节制而被大年夜众所知,两个月后新版的GandCrab打单病毒又呈现,在这个版本中,开拓者应用极具挑衅意味的C&C地址(C&C地址中包孕针对警方和安然公司的字符内容)。而在今年的5月份, GandCrab又进行了第3次迭代,该版本结合了第一次版本与第二次版本的代码暗藏技巧,加倍隐蔽。第三版借助CVE-2017-8570破绽进行传播,破绽触发后会开释包孕韩语“你好”字样的诱饵文档。与以往版真相比,该版本并没有直接指明赎金金额,而是要求用户应用Tor收集或者Jabber即时通讯软件与他们联系。

可以看出,它的加密和解密法度榜样以及它在系统中的持久进击性都获得了改进。打单软件代码的更新和改进使其变得难以检测。GANDCRAB之以是能有效迭代,是由于它有种种各样的进击进口,包括EMOTET钓鱼电子邮件、破绽使用对象包,虚假利用法度榜样和远程造访对象。

除了GANDCRAB,钻研职员还在前五名中找到了其他认识的软件,包括BLOCKER,NEMUCOD,LOCKY和WCRY。与2018年第二季度比拟,北美打单软件的总体数量有所增添。

掘客加密泉币的恶意软件也日趋盛行

2018年第三季度的掘客加密泉币的恶意软件,此中COINHIVE占了大年夜部分

掘客加密泉币的恶意软件(cryptominer),已经成为2018年的最大年夜要挟,在今年第一季度和第二季度这种进击的趋势就有了显着增长,分外是在第三季度这种增长趋势更显着了,这是由于加密泉币已被大年夜众吸收且其市场代价也在增添,这使其进击代价进一步获得提升。

掘客加密泉币的恶意软件是将加密掘客代码加载到受害者的谋略机上,平日应用冒充的收集钓鱼电子邮件或将恶意代码注入网站和浏览器。一旦被感染,谋略机就会大年夜幅减速并呈现机能问题,从而导致运行效率和硬件机能低落。

将打单软件与掘客加密泉币的恶意软件进行对照

2018年打单软件和掘客加密泉币的恶意软件之间的月度对照,请留意2018年8月打单软件的开始大年夜幅增长的趋势

在曩昔的文章中,钻研职员曾评论争论了打单软件与其他要挟比拟若何下降的问题,尤其是与掘客加密泉币的恶意软件和信息偷取法度榜样比拟。但稀罕的是,钻研职员察看到2018年第三季度掘客加密泉币的恶意软件增速却下降了,而打单软件再次呈现大年夜幅增长,分外是在8月份,它确政府竟然高于掘客加密泉币的恶意软件。

颠末阐发,这个趋势主要得益于某些打单软件的变异应用,分外是GANDCRAB的变异再应用,这可以解释打单软件在此时代的上升趋势。分外是Fallout破绽使用对象包的应用,它供给了额外的传播措施,扩大年夜了打单软件的进击范围。在2018年8月尾,Fallout破绽使用对象包首次被发明,它被安装在被黑客进击的网站上,并试图使用造访者谋略机上的破绽,这些可被使用的破绽是Adobe Flash Player(CVE-2018-4878)和Windows VBScript引擎(CVE-2018-8174),它被用于传播GandCrab打单软件以及其他恶意软件,下载木马法度榜样以及其他用户可能不必要的法度榜样(PUP)。该对象包将首先考试测验使用VBScript,假如禁用脚本,则会考试测验使用Flash Player破绽。

文件破绽:EternalBlue和MS Office破绽使用

严重的破绽会给组织带来了无法计量的丧掉,它们不仅会让设备对隐蔽的进击毫无警备能力,而且检测和更新设备的破绽平日会分散有限的安然资本,并将IT治理员的留意力发生转移。

根据钻研职员捕获的数据,2018年的前10个文件破绽如下所示。

2018年检测到的最盛行的10个破绽

大年夜多半破绽(包括2018年察看到的一半以上)和CVE-2017-0147有关,该破绽就是“永恒之蓝”破绽,它是2017年泄露的NSA收集武器库中的一款进击法度榜样,此中使用了多个Windows SMB办事的零日破绽。这是与EternalBlue破绽相关的破绽,并在WannaCry打单软件呈现时代成为最紧张的被使用的破绽。别的是两个相对较新的破绽:匿伏17年之久的Office远程代码履行破绽(CVE-2017-11882)以及CVE-2017-0199破绽。这两个破绽都是使用的MS Office产品,平日涉及垃圾邮件,此中CVE-2017-11882破绽为Office内存破坏破绽,影响今朝盛行的所有Office版本。

不出所料,因为CVE-2017-0147在各类Windows版本中滥用SMB破绽,微软Windows成为最具针对性的利用法度榜样,与第二和第三大年夜盛行破绽也与Windows有关。

受破绽影响最严重的行业,除了前六名,还包括材料、餐饮、电信和房地产等行业

根据钻研职员的监测数据,2018年前三个季度受影响最大年夜的行业是医疗保健、制造和技巧开发行业。这个趋势在第一季度分外高,但从第二季度开始下降。虽然医疗保健在最初几个月的破绽检测方面高居榜首,但在第二季度显着下降,并在第三季度略有回升。

虽然大年夜多半破绽都因此前四年发明的,但钻研职员也可以察看到追溯到2003年的旧破绽,可见及时进级破绽是多么的紧张。

缓解步伐

为了实现最高档其余保护,企业组织及其安然团队必须始终主动保护其收集和终端,不仅要预防新的进击要挟,还要保护应用改进进击措施的老式进击。

对付拥有较小安然团队且可能无法处置惩罚更高档要挟的企业而言,这可能是个难题。平日,一个企业的内部IT部门也是他们的安然团队,然而这意味着IT部门在日常义务完成之后,还要进行安防这样的额外事情,以是建议没有专业安然团队的公司应用外包安然办事。

上一页[1] [2]

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包