根据ASRC研究中心(亚洲垃圾邮件研究中心)和首内安的观察,2021年第二季度整体垃圾邮件量较上季度增长50%,带来带有恶意Office文件的攻击邮件较上一季度增加3.5倍,离线钓鱼数量增加2.4倍;CVE201711882和CVE20180802是针对MicrosoftOffice漏洞的主要利用。以下是二季度重要攻击手段和样本分析:欺诈和钓鱼邮件在全球疫情第二季度依然非常普遍。由于病毒变种,许多地区仍然实行远程办公或在家办公。钓鱼邮件看似威胁不大,但一旦帐号密码被钓鱼,攻击者就可以通过开放的远程办公对外服务和单帐号认证服务(SSO,Singlesign-on)合法使用企业开放的服务。形成入侵企业的突破口。网络钓鱼和诈骗邮件在第二季度非常流行。甚至下载了恶意Office文件在第二季度,我们发现了很多恶意Office文件的样本。这些Office文件样本的攻击方式并没有利用漏洞,也没有包含可疑的宏或VBA操作,只是简单地利用XML连接从外部打开另一个恶意文件。这类样品从今年年初就开始流转,二季度开始有明显的增加趋势。利用命令作为社会工程学手段,诱骗受害者打开恶意文件,例如甚至可以打开文件的恶意Office文件样本,大多以docx形式嵌入到邮件附件中,少数以xls和帕姆。外部下载的超链接将通过短网址隐藏,例如:xy2.eu、bit.ly、linkzip.me、bit.do、u.nu、is.gd或其他编码的网址;更多的恶意文件会被下载.wbk(MicrosoftWord备份)、.wiz(MicrosoftWizardFile)、.dot(MicrosoftWord模板)、.doc,虽然有些类型的文件不常见,但是只要电脑安装使用MicrosoftOffice相关软件,您可以打开这些恶意文件并执行它。恶意文件执行后,会从中继主机抓取vbc.exe或reg.exe并执行,成为常驻后门程序。带有双重扩展名的恶意文件第二季度出现了大量带有双重扩展名的攻击性电子邮件。由于某些自动程序或操作习惯,一个文件可能会出现两个扩展名,而计算机对此类文件的解释主要是根据最后一个扩展名。需要特别注意的双重扩展整理如下:其中,.pdf.ppam的攻击比较特殊。这种攻击使用一个指向短URL的链接,然后转向Google的blogspot服务。通过解码blogspot服务的隐藏信息,然后连接到一个俗称“网站时间机器”archive.org的服务来下载攻击程序。这些行为都是为了避开层层信息安全保护关卡。.pdf.ppam攻击附件执行后,会通过隐藏的vba下载恶意文件。隐藏的vba链接到bitly.com的短URL。短URL指向包含空白内容的Googleblogspot页面。奥秘就藏在网页的源代码中。其中,将恶意程序的编码文件放在俗称“网站时光机”的合法服务archive.org中,对编码文件进行解码,即可看到完整的攻击程序。攻击者通过手段规避触发安全告警是一种趋势,但我们从这些样本中也发现,由于过多的走弯路和使用模糊的合法服务,这些都会违背企业一般的沟通和交互行为。因此,可以根据这些差异制定保护的安全策略!除了上面介绍的攻击样本外,我们还看到了更加扑朔迷离的CVE201711882攻击行为,因此安全设备的功能更新必不可少;而在一些攻击邮件的标题中,有时可以揭示重要的隐藏信息。例如,References的标题有时会揭示同样遭受这波攻击的受害者或公司。在调查事件时,可以分析攻击者的目的。扣除。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
