热搜
您的位置:首页 >> 旅游

安全预警留意基于文档的恶意软件

2019年05月14日 栏目:旅游

梭子鱼络助力您的企业阻断不断演变的恶意软件攻击梭子鱼研究人员发现,近期基于文档的歹意软件的使用出现了惊人的新增长。近的一份电子邮件分析

梭子鱼络助力您的企业阻断不断演变的恶意软件攻击

梭子鱼研究人员发现,近期基于文档的歹意软件的使用出现了惊人的新增长。近的一份电子邮件分析显示,在过去12个月检测到的歹意文档中,有48%来源于文档。梭子鱼已识别了超过30万份恶意文档!

自2019年初以来,这类基于文档的攻击频率急剧上升。今年季度,在所有被检测到的恶意软件中,59%来源于文档,而前一年这一比例为41%。

首先,我们来详细了解一下基于文档的恶意软件攻击和解决方案,以便帮助进行检测和阻止。

下图为典型带有歹意软件的文档攻击样板

络罪犯使用电子邮件发送包含歹意软件的文档,也称为恶意软件。通常情况下,恶意软件要么直接隐藏在文档本身之中,要么通过嵌入的脚本从外部站下载。常见的恶意软件包括病毒、木马、特务软件、蠕虫和勒索软件。

歹意软件攻击的现代框架

在数十年依赖于基于标记的方法之后(该方法只能在标记被导出后才能有效阻止歹意软件),安全公司现在斟酌歹意软件检测时,会问是什么使它具有歹意?,而非如何检测我知道具有恶意的内容?重点是尝试在一个文档被标记为有害之前检测它可能造成危害的指标。

一种用于更好理解攻击的常见模型是络杀伤链(Cyber Kill Chain),它是大多数攻击者破解某个系统时所采取步骤的七阶段模型:

侦察目标的选择与研究

武器化制造对目标的攻击,通常使用歹意软件和/或漏洞

交付发动攻击

开发利用攻击包中提供的漏洞

安装在目标系统中创建持久性驻留

命令和控制使用来自络外部的持久性驻留

目标上的行动达到目标(即攻击的目的),往往是泄漏数据

大多数恶意软件以垃圾邮件的形式发送到广泛传播的电子邮件列表中,这些列表在地下络中被出售、交易、聚合和修改。像正在进行的性勒索诈骗中使用的组合列表就是这种列表聚合和实际使用的范例。

现在攻击者已经有了潜伏的受害者列表,使用社会工程让用户打开附加的恶意文档即可开始恶意软件运动(杀伤链的交付阶段)。Microsoft和Adobe文档类型是常用的基于文档的歹意软件攻击的载体,包括Word、Excel、PowerPoint、Acrobat和PDF文档。

一旦打开文档,恶意软件就会自动安装,或者使用高度模糊的宏/脚本从外部源下载并安装歹意软件。偶尔会使用链接或其它可点击的项目,但这种方法在络钓鱼攻击中比歹意软件攻击更常见。当恶意文档被打开时,正在下载并运行的可执行文件表示杀伤链中的安装阶段。

归档文档和脚本文档是另外两种常见的基于附件的恶意软件传播方法。攻击者经常对文档扩展名进行欺骗,试图迷惑用户并让他们打开恶意文档。

现代歹意软件攻击非常复杂而且分为多层;用于检测和阻挠它们的解决方案也是如此。

检测和阻止歹意软件攻击

黑名单随着IP空间越来越有限,垃圾邮件制造者愈来愈多使用其自己的基础设施。通常,相同的IP使用足够长时间后,相对容易便第三方检测到并将其列入黑名单。即使是被入侵的站和僵尸络,一旦检测到足够多的垃圾邮件,也有可能通过阻挠IP暂时阻止攻击。

垃圾邮件过滤器/络钓鱼检测系统虽然许多歹意邮件看上去令人信服,但垃圾邮件过滤器、络钓鱼检测系统和相关安全软件可以捕捉到微妙的线索,以帮助阻止潜在的威逼信息和附件进入电子邮件收件箱。

恶意软件检测对于附带有歹意文档的电子邮件,静态和动态分析都可以获得文档试图下载并运行可执行文件的指标,而这是任何文档都不应进行的操作。通常可以使用启发式或威胁情报系统标记可执行文件的URL。静态分析检测到的混淆也可以指导文档是不是可疑。

先进的防火墙如果用户打开恶意附件或点击途经式下载的链接,能够进行恶意软件分析的先进络防火墙在可执行文件试图通过时对其进行标记,从而阻止攻击。

梭子鱼邮件安全关可管理和过滤所有入站和出站电子邮件,保护企业免受因邮件而带来的络威胁,避免数据泄漏事件发生。梭子鱼邮件安全关可防御入站恶意软件,垃圾邮件,络钓鱼和DoS攻击等。同时,梭子鱼PhishLine还可提供员工安全意识培训,增强员工安全防范意识。

关于梭子鱼络

梭子鱼络秉持复杂IT简单化理念,为全球各行业组织提供性能卓越,简单易用,高效稳定的安全与存储解决方案。全球超过150,000家组织与机构选择信赖梭子鱼络安全与存储解决方案,梭子鱼为用户提供真正的端到端的安全防护,同时支持硬件,虚拟,云端和各类混合的灵活部署模式。梭子鱼以客户为中心的业务模式专注于提供高价值、基于用户的IT解决方案。

痛经可以喝益母颗粒吗
月经血发黑的原因
月经血发黑怎么调理