梭子鱼预警:新勒索软件将传播URL文件

2018-06-11    来源:

容器云强势上线!快速搭建集群,上万Linux镜像随意使用

        来自梭子鱼的消息,日前梭子鱼正在密切跟踪一个新的网络安全威胁。目前已经发现攻击者以粗心或者非专业的用户作为目标,尽可能的分发勒索软件和其他形式的恶意软件。

 

       该威胁突出特性: 攻击者使用多种技术, 试图运行一个名为“Quant Loader”的木马程序,来分发勒索软件和密码窃取程序。

 

        相关详细说明:

 

        当使用电子邮件时, 一个陌生的文件扩展名--尤其是在ZIP文件中被单独压缩的文件—常常是新的恶意软件的潜在迹象。这次也不例外, 某电子邮件声称是上个月的账单文件,其中包含压缩后的“.url”互联网快捷方式文件扩展名。这些快捷文件使用是已被证实的CVE-2016-3353漏洞的变体, 其中包含到 JavaScript文件 (以及多个最近发现的恶意Windows 脚本文件) 的链接。但是, 在这个例子中, URL的前缀是 "file://" 而非 "http://", 它通过 Samba 而不是通过 Web 浏览器获取它们。尽管在执行该脚本文件之前会提示用户,但是这仍然有助于在当前用户的配置文件下使用Windows脚本执行其中包含的恶意代码,而不必利用浏览器渗透。远程脚本文件为严重混淆,但是一旦用户允许执行该脚本,就会导致Quant Loader木马被下载和运行。

 

        根据过去的攻击案例显示, Quant Loader是一种通常用于分发恶意软件 (如勒索软件和密码窃取程序) 的特洛伊木马程序。它在地下论坛中被销售, 允许用户使用管理面板在用户被感染后配置负载。在售的可配置恶意软件正在变得越来越普遍, 这使得恶意软件的开发与分发环节分离。

执行该Windows脚本后,该脚本的进程由多个子进程组成--每一个都持续不到一天时间。它们利用仿冒的电子邮件内容和附件文件名称(有些电子邮件只有主题没有正文),一个在 Samba 上提供恶意脚本文件的域, 以及从少数几个域分发Quant木马的变体。

 

        Samba 共享可以公开访问, 但仍处于活动状态, 如下图所示。有趣的是, 试图通过 HTTP 访问 URL 后, 有时会导致重定向, 从而导致下载随机密钥生成器文件。幸运的是, 这些通常被大多数防病毒软件标记为恶意文件。基于我们对该恶意软件的追踪研究, 它并非每天出现,但是在今年三四月份曾多次出现。

 

        虽然攻击者试图设计一种新的方法来诱使用户感染自己, 但这往往会让那些具备安全知识的人更容易地发现它们。避免点击电子邮件中您不熟悉的文件类型是一个很好的起点, 当然,禁止电子邮件中的脚本运行也同样重要。许多技术利用社交软件和未经训练或粗心的用户, 并不是高度复杂的攻击。

 

        综上所述, 这些攻击中常使用的方式包括:

        网络钓鱼——发送电子邮件以引诱收件人按照攻击者的要求去操作

        社交软件——攻击者与收件人进行接触,获得信任后,让收件人根据他们的恶意请求去操作

        利用开发漏洞-CVE——-2016-3353漏洞用于绕过浏览器并在用户空间执行恶意脚本

        混淆视听——恶意脚本被充分混淆视听, 以阻止或减慢静态分析工作

 

        采取行动:

        

        用户安全意识培训——员工应定期进行培训和检测, 以提高他们应对各种针对性攻击的安全意识。模拟攻击训练是迄今为止最有效的训练形式. 梭子鱼的PhishLine解决方案是全面综合、兼容SCORM(美国的E-Learning标准)的用户培训和检测平台,可通过电子邮件、语音信箱和 SMS 的钓鱼模拟和其他一些有效的工具,来培训用户识别网络攻击,增强安全意识。

此外, 通过提供沙箱和高级威胁防御的电子邮件安全解决方案,可在恶意软件到达企业邮件服务器之前阻止。此外, 更好的防御包含恶意链接的邮件, 您还可以部署防网络钓鱼保护, 包括链接保护, 以查找指向包含恶意代码的网站的链接。即使这些链接被隐藏在文档内容中, 也可阻止用户链接到这些被破坏的网站。

 

        实时防御鱼叉式网络钓鱼和网络诈骗 - 梭子鱼Sentinel是基于云的服务, 利用人工智能学习企业的通信历史,并预防未来的鱼叉式网络钓鱼攻击。其结合了三个强大的层: 

       1. 人工智能引擎, 能实时阻止鱼叉式网络钓鱼, 并识别出公司内高危的个体用户;

        2.使用 DMARC 身份验证防止域欺骗和品牌劫持的域欺诈;

       3. 针对高风险个体的欺诈模拟训练。

标签: 安全 标准 代码 电子邮件 服务器 互联网 脚本 漏洞 美国 企业 通信 网络 网络安全 网络安全威胁 网站 用户

版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。

上一篇:ZipperDown漏洞影响10%的IOS应用程序

下一篇:火绒发布企业级产品 正式进军toB安全市场