近期,全球各地又在擴(kuò)散著Emotet方式的病毒垃圾郵件,其主要特征是帶有一個(gè).xlsm或經(jīng)zip加密的.xlsm的惡意文件。當(dāng)收件者不慎執(zhí)行惡意xlsm宏,病毒就會(huì)被激活,并在終端后臺(tái)盜取各類信息。
通過對(duì)實(shí)際案例的分析,研究人員發(fā)現(xiàn)攻擊者依然利用早期獲取的內(nèi)部用戶資訊,并通過全球各地弱賬戶平臺(tái),偽裝為相關(guān)業(yè)務(wù)往來回復(fù)類郵件,誘導(dǎo)用戶點(diǎn)擊運(yùn)行附件。
這種攻擊會(huì)從.xlsm內(nèi)紀(jì)錄的URL列表嘗試下載擴(kuò)展名為.ocx文件(實(shí)為DLL的文件),并復(fù)制到用戶目錄(「AppDataLocal隨機(jī)目錄名稱」)下,隨機(jī)取名xxxxxxx.yyy(x長度不定),通過執(zhí)行C:Windowssystem32regsvr32.exe/s"C:Users用戶名稱AppDataLocal隨機(jī)目錄名稱下的惡意文件,并通過registry設(shè)定開機(jī)執(zhí)行。
為了成功入侵,黑客攻擊手法不斷演化,發(fā)展出各種能夠躲避偵測的攻擊。值得留意的是第二波惡意文件攻擊,直接以加密的手段躲避防毒機(jī)制的檢查,而加密壓縮文件內(nèi)的.xlsm又以混淆手段,增加防毒系統(tǒng)的攔截難度。基礎(chǔ)或只有防病毒功能的郵件防御,已無法對(duì)抗黑客日益精進(jìn)的進(jìn)階攻擊。
守內(nèi)安建議企業(yè)用戶盡快使用新一代防御技術(shù),包括:擁有多層過濾機(jī)制對(duì)抗入侵,同時(shí)具有ADM(Advanced Defense Module)高級(jí)防御機(jī)制;能自動(dòng)解壓文件并進(jìn)行掃描;可發(fā)掘潛在危險(xiǎn)代碼、隱藏的邏輯路徑及反編譯代碼,進(jìn)一步對(duì)惡意軟件進(jìn)行比對(duì);可深度防御魚叉式攻擊、匯款詐騙、APT攻擊郵件、勒索病毒以及新型態(tài)攻擊等郵件。