欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

老式攻击的强大持续性是如何进化而成的?

来源:本站整理 作者:佚名 时间:2018-11-07 TAG: 我要投稿

近日,趋势科技根据所捕获的Smart Protection Network(SPN)数据和来自北美地区的Managed Detection and Response(MDR)的数据,发现老式攻击一直持续存在着,且生命力旺盛,比如垃圾邮件等传播方式依然强劲,而勒索软件攻击又焕发出新的活力,另外2018年第三季度的监测数据也显示,挖掘加密货币的恶意软件的新式攻击的数量也急剧增加。
然而,研究人员却发现,这些旧威胁一直持续存在着,且生命力旺盛,安防人员不要误解为幕后开发者或攻击者有满足于现状的迹象。事实上,这是他们在不断改进已被证明有效的工具和技术,以便在网络罪犯和安全提供商之间无休止的获取主动攻击权的征兆。
其中垃圾邮件是传播恶意软件的首选方法

2018年第三季度北美地区排名前15位的恶意软件
基于云安全智能防护网络(SPN)的监测数据,本季度北美地区排名前15位的恶意软件非常多元化。可以看到排名第一的是EMOTET恶意软件,其次是挖掘加密货币的恶意软件COINHIVE。木马POWLOAD和被称为AMCleaner的潜在不受欢迎的应用程序(potentially unwanted application ,PUA)分别排在第三和第四位。
利用欺诈性垃圾邮件实施钓鱼攻击,可以将许多攻击力很大的恶意软件的效用发挥大最大。另外,之所以钓鱼攻击很普遍,是因为它们很少需要复杂的工具才能进行攻击,而且它们之所以有效,是因为攻击者只需要了解人类的行为以及诱使毫无戒心的用户点击链接或下载恶意附件即可。
研究人员在第三季度发现的垃圾邮件攻击活动表明,攻击者已经在慢慢的改进钓鱼软件的传播方法。下面的三个示例显示了攻击者是如何以不同方式使用单个攻击向量。一种是典型的网络钓鱼尝试,所有的攻击元素都在这些类型的攻击中被发现;而另一种则使用仍然证明有效的旧恶意软件;最后一个示例涉及一种新的,巧妙的技术,利用电子邮件劫持和现有对话来攻击用户。
发生在加拿大的网络钓鱼活动
以发生在加拿大的网络钓鱼活动为例,看看攻击者是如何使用与税收相关的PDF文件作为诱饵的。与大多数网络钓鱼攻击一样,电子邮件是钓鱼攻击情形中使用的主要攻击入口。乍一看,该电子邮件来自似乎是合法的政府机构:“加拿大税务局(CRA)”,甚至还有一个PDF文档附件,文件名为CRA-ACCESS-INFO.pdf。此电子邮件包含一条伪造的虚假消息,通知收件人CRA已向他们发送了INTERAC电子转帐,可通过其中的说明转账或点击PDF中嵌入的链接来存入资金。

伪装成来自CRA的电子邮件的网络钓鱼攻击
如上图所示,PDF邮件正文包含一个“请存入资金”的标签,该标签链接到一个将受害者重定向到网络钓鱼页面的恶意URL。然后,网络钓鱼页面会检查受害者的有关IP地址的地理位置的信息。如果发现IP地址的地理位置与计划中的目标区域(比如本文中为北美)匹配,则会重定向到要求用户输入个人详细信息和财务凭据的页面,否则,它将重定向到YouTube。研究人员在北美地区看到的所有这类钓鱼攻击都有着非常一致的模式,所有攻击样本的电子邮件和附件都是相同的。
在电子邮件中找到的Interac公司是一个合法的加拿大借记卡公司,它将金融机构和其他企业联系起来,以便交换进行电子金融交易。Interac作为加拿大借记卡系统,具有广泛的可接受性,可靠性,安全性和效率。该组织是加拿大领先的支付品牌之一,平均每天使用它进行支付和兑换货币的次数达到1600万次,攻击者使用这样一个受大家信任的金融机构就增加了网络钓鱼邮件得“合法性”。
使用EMOTET有效载荷的垃圾邮件
EMOTET是随着时间的推移而发展的恶意软件的完美示例。
趋势科技的安全团队早在2014年首次发现EMOTET木马使用网络嗅探技术窃取数据,最初是一种银行木马,但在之后的几年里EMOTET表现得并不活跃且慢慢开始淡出人们的视线。
但在2017年8月份,趋势科技又发现了EMOTET,并详细介绍了EMOTET的四个完全不同类型的变种TSPY_EMOTET.AUSJLA、TSPY_EMOTET.SMD3、TSPY_EMOTET.AUSJKW、TSPY_EMOTET.AUSJKV,这些变种的攻击目标分别是美国、英国和加拿大。自2018年2月以来,Emotet一直在使用其加载程序功能来传播Quakbot系列恶意软件,该系列的行为模式类似于网络蠕虫。此外,Emotet还在传播Ransom.UmbreCrypt勒索软件和其他恶意软件(如DRIDEX)。Emotet还加强了其功能和策略,包括使用第三方开源组件。比如,Emotet在Google的原型程序上构建了一个通信协议,该协议使用Lempel-Ziv-Markov(LZMA)压缩,LZMA是一种用于执行无损数据压缩的链算法。
最近,研究人员又发现了大量的EMOTET垃圾邮件活动,使用各种社交工程方法来诱使用户下载和启动其恶意载荷,通常采用恶意MS Word或PDF文档的形式。
多态性和类蠕虫功能的结合使其能够快速传播到网络中,而无需任何其他用户交互。EMOTET的顽强生命力让任何专业的安全保护组织都感到棘手,特别是在考虑它可能对组织产生的影响时。除了信息窃取之外,EMOTET还可以对网络基础设施造成严重破坏并引发账户冻结,让企业蒙受金钱和声誉损失。
利用被劫持的电子邮件传播URSNIF
URSNIF是一种银行木马,会窃取敏感资料并在受影响的主机上收集数据,包括电子邮件凭证、证书、浏览器cookie和来自webinjects的财务信息。研究人员最近发现了一个新的攻击系列,该攻击系列利用被劫持的合法电子邮件来发送URSNIF。在今年9月监测到的恶意邮件活动却表明,攻击者正在采取更为复杂的网络钓鱼形式。该恶意活动会劫持电子邮件账户,并对邮箱中已有的邮件内容进行回复,在回复的内容中附带恶意软件。对已有邮件的回复,实际上是连续通信中的一部分,因此这种特殊的钓鱼方式难以被用户发现,也难以检测。通常,受害者都没有意识到他们正在遭受钓鱼邮件的威胁。这些攻击与今年早些时候Talos发现的URSNIF/GOZI恶意邮件活动非常相似,该恶意活动使用暗云僵尸网络中部分被劫持的计算机向已有邮件发送回信,很可能是URSNIF/GOZI恶意邮件活动的升级版本或演变版本。根据迄今为止收集到的数据,我们发现该恶意活动主要影响北美和欧洲地区,同时在亚洲和拉丁美洲地区也发现了类似的攻击。本次恶意活动的主要目标是教育、金融和能源行业。然而,此次恶意活动还影响到了其他行业,包括房地产、交通运输、制造业和政府。值得注意的是,恶意垃圾邮件是作为正在进行的对话的一部分发送的,这使得目标用户更难以检测到。此攻击系列与商业电子邮件攻击(BEC)有一些相似之处,但没有电汇欺诈。

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载