近日,趨勢科技根據(jù)所捕獲的Smart Protection Network(SPN)數(shù)據(jù)和來自北美地區(qū)的Managed Detection and Response(MDR)的數(shù)據(jù),發(fā)現(xiàn)老式攻擊一直持續(xù)存在著,且生命力旺盛,比如垃圾郵件等傳播方式依然強(qiáng)勁,而勒索軟件攻擊又煥發(fā)出新的活力,另外2018年第三季度的監(jiān)測數(shù)據(jù)也顯示,挖掘加密貨幣的惡意軟件的新式攻擊的數(shù)量也急劇增加。
然而,研究人員卻發(fā)現(xiàn),這些舊威脅一直持續(xù)存在著,且生命力旺盛,安防人員不要誤解為幕后開發(fā)者或攻擊者有滿足于現(xiàn)狀的跡象。事實上,這是他們在不斷改進(jìn)已被證明有效的工具和技術(shù),以便在網(wǎng)絡(luò)罪犯和安全提供商之間無休止的獲取主動攻擊權(quán)的征兆。
其中垃圾郵件是傳播惡意軟件的首選方法
2018年第三季度北美地區(qū)排名前15位的惡意軟件
基于云安全智能防護(hù)網(wǎng)絡(luò)(SPN)的監(jiān)測數(shù)據(jù),本季度北美地區(qū)排名前15位的惡意軟件非常多元化。可以看到排名第一的是EMOTET惡意軟件,其次是挖掘加密貨幣的惡意軟件COINHIVE。木馬POWLOAD和被稱為AMCleaner的潛在不受歡迎的應(yīng)用程序(potentially unwanted application ,PUA)分別排在第三和第四位。
利用欺詐性垃圾郵件實施釣魚攻擊,可以將許多攻擊力很大的惡意軟件的效用發(fā)揮大最大。另外,之所以釣魚攻擊很普遍,是因為它們很少需要復(fù)雜的工具才能進(jìn)行攻擊,而且它們之所以有效,是因為攻擊者只需要了解人類的行為以及誘使毫無戒心的用戶點擊鏈接或下載惡意附件即可。
研究人員在第三季度發(fā)現(xiàn)的垃圾郵件攻擊活動表明,攻擊者已經(jīng)在慢慢的改進(jìn)釣魚軟件的傳播方法。下面的三個示例顯示了攻擊者是如何以不同方式使用單個攻擊向量。一種是典型的網(wǎng)絡(luò)釣魚嘗試,所有的攻擊元素都在這些類型的攻擊中被發(fā)現(xiàn);而另一種則使用仍然證明有效的舊惡意軟件;最后一個示例涉及一種新的,巧妙的技術(shù),利用電子郵件劫持和現(xiàn)有對話來攻擊用戶。
發(fā)生在加拿大的網(wǎng)絡(luò)釣魚活動
以發(fā)生在加拿大的網(wǎng)絡(luò)釣魚活動為例,看看攻擊者是如何使用與稅收相關(guān)的PDF文件作為誘餌的。與大多數(shù)網(wǎng)絡(luò)釣魚攻擊一樣,電子郵件是釣魚攻擊情形中使用的主要攻擊入口。乍一看,該電子郵件來自似乎是合法的政府機(jī)構(gòu):“加拿大稅務(wù)局(CRA)”,甚至還有一個PDF文檔附件,文件名為CRA-ACCESS-INFO.pdf。此電子郵件包含一條偽造的虛假消息,通知收件人CRA已向他們發(fā)送了INTERAC電子轉(zhuǎn)帳,可通過其中的說明轉(zhuǎn)賬或點擊PDF中嵌入的鏈接來存入資金。
偽裝成來自CRA的電子郵件的網(wǎng)絡(luò)釣魚攻擊
如上圖所示,PDF郵件正文包含一個“請存入資金”的標(biāo)簽,該標(biāo)簽鏈接到一個將受害者重定向到網(wǎng)絡(luò)釣魚頁面的惡意URL。然后,網(wǎng)絡(luò)釣魚頁面會檢查受害者的有關(guān)IP地址的地理位置的信息。如果發(fā)現(xiàn)IP地址的地理位置與計劃中的目標(biāo)區(qū)域(比如本文中為北美)匹配,則會重定向到要求用戶輸入個人詳細(xì)信息和財務(wù)憑據(jù)的頁面,否則,它將重定向到Y(jié)ouTube。研究人員在北美地區(qū)看到的所有這類釣魚攻擊都有著非常一致的模式,所有攻擊樣本的電子郵件和附件都是相同的。
在電子郵件中找到的Interac公司是一個合法的加拿大借記卡公司,它將金融機(jī)構(gòu)和其他企業(yè)聯(lián)系起來,以便交換進(jìn)行電子金融交易。Interac作為加拿大借記卡系統(tǒng),具有廣泛的可接受性,可靠性,安全性和效率。該組織是加拿大領(lǐng)先的支付品牌之一,平均每天使用它進(jìn)行支付和兌換貨幣的次數(shù)達(dá)到1600萬次,攻擊者使用這樣一個受大家信任的金融機(jī)構(gòu)就增加了網(wǎng)絡(luò)釣魚郵件得“合法性”。
使用EMOTET有效載荷的垃圾郵件
EMOTET是隨著時間的推移而發(fā)展的惡意軟件的完美示例。
趨勢科技的安全團(tuán)隊早在2014年首次發(fā)現(xiàn)EMOTET木馬使用網(wǎng)絡(luò)嗅探技術(shù)竊取數(shù)據(jù),最初是一種銀行木馬,但在之后的幾年里EMOTET表現(xiàn)得并不活躍且慢慢開始淡出人們的視線。
但在2017年8月份,趨勢科技又發(fā)現(xiàn)了EMOTET,并詳細(xì)介紹了EMOTET的四個完全不同類型的變種TSPY_EMOTET.AUSJLA、TSPY_EMOTET.SMD3、TSPY_EMOTET.AUSJKW、TSPY_EMOTET.AUSJKV,這些變種的攻擊目標(biāo)分別是美國、英國和加拿大。自2018年2月以來,Emotet一直在使用其加載程序功能來傳播Quakbot系列惡意軟件,該系列的行為模式類似于網(wǎng)絡(luò)蠕蟲。此外,Emotet還在傳播Ransom.UmbreCrypt勒索軟件和其他惡意軟件(如DRIDEX)。Emotet還加強(qiáng)了其功能和策略,包括使用第三方開源組件。比如,Emotet在Google的原型程序上構(gòu)建了一個通信協(xié)議,該協(xié)議使用Lempel-Ziv-Markov(LZMA)壓縮,LZMA是一種用于執(zhí)行無損數(shù)據(jù)壓縮的鏈算法。
最近,研究人員又發(fā)現(xiàn)了大量的EMOTET垃圾郵件活動,使用各種社交工程方法來誘使用戶下載和啟動其惡意載荷,通常采用惡意MS Word或PDF文檔的形式。
多態(tài)性和類蠕蟲功能的結(jié)合使其能夠快速傳播到網(wǎng)絡(luò)中,而無需任何其他用戶交互。EMOTET的頑強(qiáng)生命力讓任何專業(yè)的安全保護(hù)組織都感到棘手,特別是在考慮它可能對組織產(chǎn)生的影響時。除了信息竊取之外,EMOTET還可以對網(wǎng)絡(luò)基礎(chǔ)設(shè)施造成嚴(yán)重破壞并引發(fā)賬戶凍結(jié),讓企業(yè)蒙受金錢和聲譽(yù)損失。
利用被劫持的電子郵件傳播URSNIF
URSNIF是一種銀行木馬,會竊取敏感資料并在受影響的主機(jī)上收集數(shù)據(jù),包括電子郵件憑證、證書、瀏覽器cookie和來自webinjects的財務(wù)信息。研究人員最近發(fā)現(xiàn)了一個新的攻擊系列,該攻擊系列利用被劫持的合法電子郵件來發(fā)送URSNIF。在今年9月監(jiān)測到的惡意郵件活動卻表明,攻擊者正在采取更為復(fù)雜的網(wǎng)絡(luò)釣魚形式。該惡意活動會劫持電子郵件賬戶,并對郵箱中已有的郵件內(nèi)容進(jìn)行回復(fù),在回復(fù)的內(nèi)容中附帶惡意軟件。對已有郵件的回復(fù),實際上是連續(xù)通信中的一部分,因此這種特殊的釣魚方式難以被用戶發(fā)現(xiàn),也難以檢測。通常,受害者都沒有意識到他們正在遭受釣魚郵件的威脅。這些攻擊與今年早些時候Talos發(fā)現(xiàn)的URSNIF/GOZI惡意郵件活動非常相似,該惡意活動使用暗云僵尸網(wǎng)絡(luò)中部分被劫持的計算機(jī)向已有郵件發(fā)送回信,很可能是URSNIF/GOZI惡意郵件活動的升級版本或演變版本。根據(jù)迄今為止收集到的數(shù)據(jù),我們發(fā)現(xiàn)該惡意活動主要影響北美和歐洲地區(qū),同時在亞洲和拉丁美洲地區(qū)也發(fā)現(xiàn)了類似的攻擊。本次惡意活動的主要目標(biāo)是教育、金融和能源行業(yè)。然而,此次惡意活動還影響到了其他行業(yè),包括房地產(chǎn)、交通運(yùn)輸、制造業(yè)和政府。值得注意的是,惡意垃圾郵件是作為正在進(jìn)行的對話的一部分發(fā)送的,這使得目標(biāo)用戶更難以檢測到。此攻擊系列與商業(yè)電子郵件攻擊(BEC)有一些相似之處,但沒有電匯欺詐。
| 
