2021年第一季度,疫情影响似乎略有缓和,各国开始实施疫苗接种,为疫情结束带来一线希望.与去年第四季度相比,1月和2月垃圾邮件和威胁邮件的发送速度相对较慢;3月,垃圾邮件和攻击明显增加,相比1月和2月增加了约30%-40%左右。首内安与ASRC研究中心整理出的特殊攻击样本如下:依赖使用网络服务,导致钓鱼风险显着增加更改密码等,还发现了很多钓鱼邮件的巧妙思路,如:疫情期间使用假快递、各种音视频串流服务、招聘工作等。目标是网络钓鱼电子邮件帐户。各种在线服务的密码、登录信息;或诱骗受害者打开电子邮件中的恶意文件和链接,以进一步控制受害者的计算机。钓鱼邮件钓鱼邮件账号密码假快递钓鱼邮件,意图诱导收件人点击下载恶意文件。合法服务继续被滥用。攻击很难阻止恶意目的地或来源。是信息安全保护的一项重要技术。.然而,滥用合法和知名服务的攻击越来越多,例如谷歌云盘、Web表单或某些云主机的电子邮件传递服务。这些被滥用的合法服务大多是知名的互联网服务提供商。不仅接收者会降低警惕性,大多数互联网防御机制也会跳过检测,使得此类攻击更难被阻止。黑客使用Google表单钓鱼恶意文件诱饵伪装多样性第1季观察到大量使用社会工程技术试图诱使目标下载和执行恶意文件的攻击。其中,社会工程学所使用的理由是多种多样的。以下案例以薪资问题为诈骗理由,需要受害人下载相关附件查看。其实下载的是一个打包好的PE文件,主要由一个PE文件WeChatAppUpdates.exe、一个dll文件OutlookUpdate.dll和一个Word文件作为诱饵组成。首先会执行WeChatAppUpdates.exe,WeChatAppUpdates.exe会先关闭宿主机的WindowsErrorReportingService等服务,然后启动常驻后门,试图引诱目标对象下载并执行恶意文件。值得注意的是,下载的恶意可执行文件伪装成WORD图标,并以一长串文字作为文件名。如果不仔细观察,很难发现这不是一个WORD文件。而且不小心执行后,WORD文件也会像烟雾弹一样被打开。因此,受害者在被植入后门后,很难在第一时间察觉到异常。该图标伪装成WORD文件,并以一长串文字命名,使人们难以发现大量扩展名为.exe的恶意Office文件。通过远程加载恶意样本来逃避扫描。第一季度,我们发现大量恶意Office文件被散播。这些电子邮件是用英语或多种语言编写的,并使用模拟社会工程技术。这些恶意文件大多是ZIP压缩XML包格式的Office文件,例如:.docx、xlsx等。对打包后的恶意文件进行拆解后,我们发现了一个常用的方法:在恶意文件\文件格式\_rels\webSettings.xml.rels文件中加载一个远程恶意样本文件。在恶意文件中,远程加载的恶意样本被放置在ColoCrossing虚拟主机上,最终会下载一个vbc.exe并在主机上运行,??伺机窃取主机的机密文件。这类恶意邮件在2021年第一季度大量出现,如果查看这类恶意文件,里面并没有明显的VBA或恶意代码,就有机会规避某些扫描机制。恶意文件伪装成Office文件总结一定要特别注意远程下载恶意文件或程序的攻击。在此类攻击中,除了远程服务器能够控制下载器的IP、时间、位置、浏览器版本外,下载的样本还可以任意更改,使信息安全研究单位获取样本困难重重;攻击往往比较复杂,即使受害者非常警觉,也可能不知道自己下载并执行了恶意文件。除了要提高警惕,不打开或下载来历不明的邮件和文件外,如果不小心打开了一个不明文件,发现里面的信息不是你所期望的,更要特别注意。建议企业定期进行内部信息安全检查或扫描,确保企业内部没有植入可长期窃取信息的后门,并关注各种异常情况。
