近期威胁预警:通过启动附件窃取密码

2018-03-15 15:12:00 作者:ym 出处 : 比特网

  本月初, 我们推出了一个新的平台——梭子鱼智能安全透视平台,它提供实时威胁警报和风险等信息, 以帮助企业和业内人士增强对当前 IT 安全威胁内容的持续认识。我们很荣幸该平台是免费的,任何能访问互联网的人都可以通过它来检查可能存在的潜伏的各种网络威胁。

  比如, 当我们发现PDF文档中包含恶意软件呈上升趋势时,那么梭子鱼智能安全透视平台会将该威胁标记为“关键警报” 并描述该威胁,提示客户应该避免什么。针对本月的威胁预警,通过查看最近被梭子鱼智能安全透视平台标记的 "关键警报", 发现有通过启动附件的 Word 或 Excel 文档 (声称是纳税表单或其他正式文档) 来窃取用户密码的威胁存在。犯罪分子经常以用户的密码和身份信息为目标;然而, 我们仍可持续看到犯罪分子想出巧妙的方法来诱骗的用户泄漏他们的敏感信息。以下是我们这次发现的具体威胁信息:

  高度威胁预警:

  密码窃取——犯罪分子通过用户端启动常见类型的文件附件来窃取其密码。

  详细信息:

  犯罪分子经常针对他们的目标不断地分发各种不同类型的恶意软件, 通常都是与钱或利益挂钩。虽然勒索软件是实现这一目标的常用手段, 但劫持数据获得赎金并不是恶意软件传播的唯一目的。企业不断尝试获得更多的消费者信息, 以便针对投放广告和挖掘目标用户数据,而且保密的信息更有价值。犯罪社区上有一个发展蓬勃的”窃得密码”的黑市, 使恶意软件可获得这些密码后从而获利。广泛使用的软件保存的密码 (例如常见的浏览器)有很大的风险,即使是密码管理解决方案也极不安全, 因为大量的密码已经在这些用户的计算机,只是在等待被盗。

  接下来例举一些实例,其中包括犯罪分子想窃取用户的密码例子。示例1, 攻击者试图诱惑收件人打开附件,因此经常使用紧急类的字眼使邮件显得重要。此外, 还有些会将附件命名为 "taxletter", 使其看起来像是一个重要的税务表单。最后, 采用 Word 文档形式作为附件, 攻击者通过这些常用的文件类型增加了被打开的可能性。

  示例2也是来自电子邮件, 攻击者试图使他们的消息和附件看起来很重要, 声称是一个 PO附件。与上述不同的是:此时附件是一个 Excel 文件, 当然也是人们熟悉的一种常见的文件类型-- 使人们不太可能怀疑其具有任何恶意内容。

  不幸的是, 在这两个示例中-如果用户实际上打开了这些附件, 那么他们的密码就很可能被盗。我们是如何获知这些攻击行为的呢?

  密码窃取的演变

  用户为了方便起见而保存常用密码这一技术习惯出现和流行之前, 密码窃取需要首先用恶意软件感染用户,记录用户的键盘输入并定期通过网络上传分析来获取。尽管这种技术仍在使用, 但它产生的异常网络流量增加了在密码窃取前被发现的可能性。随着密码保存功能的出现和频繁使用,恶意软件可以简单地打破任何密码存储安全机制来获取密码, 并立即上传。这使得在网络级别检测变得更加困难, 因为在密码被外传时只有一个瞬时的网络通信量被识别到。 不同于以往周期性有网络通信的的键盘记录恶意软件可比较容易被识别检测,这一新的密码窃取(恶意软件)很难被发现和阻断。

  不管是什么手段, 一旦密码被盗, 犯罪分子可以根据他们提供的访问权来获取利益(金钱)。银行密码显然是最容易被货币化, 因为犯罪分子可以简单地把资金从你的帐户转移, 甚至比电子邮件和社交媒体密码都更有价值。大多数电子邮件和社交网络帐户提供了访问更多的用户, 可以直接收到垃圾邮件或鱼叉式钓鱼邮件, 以及这些用户的电子邮件地址可能是可用的, 这也可以添加到列表中, 并出售给垃圾邮件发送者。被黑客攻击的电子邮件帐户也通常可被用来试图欺骗账户中保存的联系人,以冒充帐户所有者, 并声称其被困在国外, 需要钱返回家园。Windows 登录密码也可能是目标, 不仅是因为有可能重新使用密码来登录该帐户, 而且还可以在业务计算机受到危害时对企业内部的网络和资源进行潜在的威胁访问。

  与一般的恶意软件一样, 密码窃取者有多种分发方法, 其中大部分涉及包含附件或 URL 的网络钓鱼电子邮件。由于在电子邮件服务器上检测恶意附件比在用户的计算机更容易、更高效,因此攻击者们使用各种不同的文件类型和分发方法来试图规避这种安全阻拦。 如果只是简单地阻止某些文件类型,这显然是非常天真的方法。密码窃取者可以很方便的将文档压缩成存档格式文件, 以规避按文件类型的阻止-有时甚至使用假的文件扩展名, 仍然可被在所需的存档软件中打开文件。但是, 使用受信任的文件类型来规避服务器检测并在用户执行文件时下载恶意软件也是很常见的。具有下载密码窃取功能的宏的 Microsoft Word 和 Excel 文档非常常见, 并且比发送秘密窃取恶意软件本身更难检测。虽然这些缺点是宏必须由用户运行, 但社会工程学被攻击者利用来诱使让用户这样做。

  综上所述, 在这些攻击中常使用类型有:

  · 网络钓鱼:攻击者发送电子邮件, 诱使收件人打开包含恶意内容的附件。

  · 伪装:恶意附件被伪装成正式文件, 如重要的纳税表格。

  · 避免检测: 攻击者使用可信文件类型 (如 Word 和 Excel), 希望能够规避服务器检测。

  如何应对:

  培训用户安全意识—应定期对员工进行安全培训和测试,以提高他们对各种目标攻击的网络安全认识。模拟攻击训练是迄今为止最有效的培训。

  分层员工培训,并结合通过提供沙盒和高级威胁防御的电子邮件安全解决方案,在恶意软件到达企业邮件服务器之前阻止它;并且还要防护包含恶意链接在内的其它邮件安全威胁。 您可以部署网络钓鱼防护(包括链接保护), 以查找指向包含恶意代码网站的链接;即使这些链接被隐藏在文档内容中也能被阻拦。

  实时鱼叉式网络钓鱼攻击和网络欺诈防御——梭子鱼 Sentinel是一个服务, 利用人工智能来保护企业的通信历史记录和防止网络钓鱼攻击。它结合了三个强大的功能: 一个人工智能引擎, 它能实时阻止鱼叉式网络钓鱼攻击, 并识别出公司内部高危人群;使用 DMARC 身份验证能防止域欺诈和品牌劫持的风险;以及针对高危人群的欺诈模拟训练。

最近更新
科普

科普图集
从《中国互联网+指数报告(2018)》看数字经济

从《中国互联网+指数报告(2018)》看数字经济>>详情

“互联网+”的这些新变化,你知道吗?

“互联网+”的这些新变化,你知道吗?>>详情

邮件订阅

软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!
网络周刊
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。
存储周刊
比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
安全周刊
比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加独立,对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。
IT专家网
IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和白皮书。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊
X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。