由于疫苗的研发和普及,疫情的阴霾终于露出了一丝曙光。许多地区开始解封,世界开始流动起来。这时候,变异病毒对疫苗的抵抗力发生了变化,让原本开始解封的地区拉响了警钟。第二季充满了希望和突如其来的变化。信息安全我们也在不断的竞争,是否也能及时防护和应对?二季度整体垃圾邮件量环比增长50%,带有Office恶意文件的攻击邮件环比增长3.5倍。线下钓鱼数量增长了2.4倍;利用MicrosoftOffice漏洞的主要是CVE201711882和CVE20180802。内安和ASRC对二季度的重要攻击手段和样本进行了如下分析:诈骗和钓鱼邮件在全球疫情第二季度依然非常普遍。由于病毒变种,许多地区仍然实行远程办公或在家办公。钓鱼邮件看似威胁不大,但一旦账户密码被盗,攻击者可以通过开放的远程工作对外服务和单一账户认证服务(SSO,Singlesign-on)合法使用公司开放的服务。形成突破口侵入企业。Q2钓鱼诈骗邮件猖獗,恶意Office文件下载Q2我们发现了很多Office恶意文件样本。这些Office文件样本的攻击方式并没有利用漏洞,也没有包含可疑的宏或VBA操作,只是简单地利用XML连接从外部打开另一个恶意文件。这类样品从今年年初就开始流转,二季度开始有明显的增加趋势。利用命令作为社会工程手段,诱骗受害者打开恶意文件,例如甚至可以打开文件的恶意Office文件样本,大多以docx形式附在邮件附件中,少数以xls和帕姆。外部下载的超链接将通过短网址隐藏,例如:xy2.eu、bit.ly、linkzip.me、bit.do、u.nu、is.gd或其他编码的网址;更多的恶意文件会被下载.wbk(MicrosoftWord备份)、.wiz(MicrosoftWizardFile)、.dot(MicrosoftWord模板)、.doc,虽然有些类型的文件不常见,但是只要电脑安装使用MicrosoftOffice相关软件,您可以打开这些恶意文件并执行它。恶意文件执行后,会从中继主机抓取vbc.exe或reg.exe并执行,成为常驻后门程序。带有双重扩展名的恶意文件第二季度出现了大量带有双重扩展名的攻击性电子邮件。由于某些自动程序或操作习惯,一个文件可能会出现两个扩展名,而计算机对此类文件的解释主要是根据最后一个扩展名。需要特别注意的双重扩展整理如下:其中,.pdf.ppam的攻击比较特殊。这种攻击使用一个短网址的链接,然后转向谷歌的blogspot服务,通过解码blogspot服务的隐藏信息,然后链接到一个俗称“网站时间机器”archive.org的服务来下载攻击程序。这些行为都是为了避开层层信息安全保护关卡。.pdf.ppam攻击附件执行后,会通过隐藏的vba下载恶意文件。隐藏的vba连接到bitly.com的短URL位置。短URL指向空白的Googleblogspot页面。奥秘就藏在网页的源代码中。其中,恶意程序的编码文件被放置在俗称“网站时光机”的合法服务archive.org中进行解码。你可以看到攻击程序的完整摘要。从上述样本的攻击来看,在使用难以察觉的方法来规避触发安全警报是攻击者的趋势,但我们也从这些样本中发现,由于走弯路过多,使用模糊法律服务,这些都会违背企业一般的沟通和互动行为。因此,可以根据这些差异制定保护的安全策略!除了上面介绍的攻击样本,我们还看到了更加混乱的CVE201711882攻击,因此安全设备的特性更新必不可少;而在某些攻击邮件的标题中,有时可以揭示重要的隐藏信息。例如,参考文献的标题有时会显示同样受到这一波攻击的受害者或公司。在调查事件时,可以推断出攻击者的目的。
