近日,趨勢科技根據所捕獲的Smart Protection Network(SPN)數據和來自北美地區的Managed Detection and Response(MDR)的數據,發現老式攻擊一直持續存在著,且生命力旺盛,比如垃圾郵件等傳播方式依然強勁,而勒索軟件攻擊又煥發出新的活力,另外2018年第三季度的監測數據也顯示,挖掘加密貨幣的惡意軟件的新式攻擊的數量也急劇增加。
然而,研究人員卻發現,這些舊威脅一直持續存在著,且生命力旺盛,安防人員不要誤解為幕后開發者或攻擊者有滿足于現狀的跡象。事實上,這是他們在不斷改進已被證明有效的工具和技術,以便在網絡罪犯和安全提供商之間無休止的獲取主動攻擊權的征兆。
其中垃圾郵件是傳播惡意軟件的首選方法
2018年第三季度北美地區排名前15位的惡意軟件
基于云安全智能防護網絡(SPN)的監測數據,本季度北美地區排名前15位的惡意軟件非常多元化。可以看到排名第一的是EMOTET惡意軟件,其次是挖掘加密貨幣的惡意軟件COINHIVE。木馬POWLOAD和被稱為AMCleaner的潛在不受歡迎的應用程序(potentially unwanted application ,PUA)分別排在第三和第四位。
利用欺詐性垃圾郵件實施釣魚攻擊,可以將許多攻擊力很大的惡意軟件的效用發揮大最大。另外,之所以釣魚攻擊很普遍,是因為它們很少需要復雜的工具才能進行攻擊,而且它們之所以有效,是因為攻擊者只需要了解人類的行為以及誘使毫無戒心的用戶點擊鏈接或下載惡意附件即可。
研究人員在第三季度發現的垃圾郵件攻擊活動表明,攻擊者已經在慢慢的改進釣魚軟件的傳播方法。下面的三個示例顯示了攻擊者是如何以不同方式使用單個攻擊向量。一種是典型的網絡釣魚嘗試,所有的攻擊元素都在這些類型的攻擊中被發現;而另一種則使用仍然證明有效的舊惡意軟件;最后一個示例涉及一種新的,巧妙的技術,利用電子郵件劫持和現有對話來攻擊用戶。
發生在加拿大的網絡釣魚活動
以發生在加拿大的網絡釣魚活動為例,看看攻擊者是如何使用與稅收相關的PDF文件作為誘餌的。與大多數網絡釣魚攻擊一樣,電子郵件是釣魚攻擊情形中使用的主要攻擊入口。乍一看,該電子郵件來自似乎是合法的政府機構:“加拿大稅務局(CRA)”,甚至還有一個PDF文檔附件,文件名為CRA-ACCESS-INFO.pdf。此電子郵件包含一條偽造的虛假消息,通知收件人CRA已向他們發送了INTERAC電子轉帳,可通過其中的說明轉賬或點擊PDF中嵌入的鏈接來存入資金。
偽裝成來自CRA的電子郵件的網絡釣魚攻擊
如上圖所示,PDF郵件正文包含一個“請存入資金”的標簽,該標簽鏈接到一個將受害者重定向到網絡釣魚頁面的惡意URL。然后,網絡釣魚頁面會檢查受害者的有關IP地址的地理位置的信息。如果發現IP地址的地理位置與計劃中的目標區域(比如本文中為北美)匹配,則會重定向到要求用戶輸入個人詳細信息和財務憑據的頁面,否則,它將重定向到YouTube。研究人員在北美地區看到的所有這類釣魚攻擊都有著非常一致的模式,所有攻擊樣本的電子郵件和附件都是相同的。
在電子郵件中找到的Interac公司是一個合法的加拿大借記卡公司,它將金融機構和其他企業聯系起來,以便交換進行電子金融交易。Interac作為加拿大借記卡系統,具有廣泛的可接受性,可靠性,安全性和效率。該組織是加拿大領先的支付品牌之一,平均每天使用它進行支付和兌換貨幣的次數達到1600萬次,攻擊者使用這樣一個受大家信任的金融機構就增加了網絡釣魚郵件得“合法性”。
使用EMOTET有效載荷的垃圾郵件
EMOTET是隨著時間的推移而發展的惡意軟件的完美示例。
趨勢科技的安全團隊早在2014年首次發現EMOTET木馬使用網絡嗅探技術竊取數據,最初是一種銀行木馬,但在之后的幾年里EMOTET表現得并不活躍且慢慢開始淡出人們的視線。
但在2017年8月份,趨勢科技又發現了EMOTET,并詳細介紹了EMOTET的四個完全不同類型的變種TSPY_EMOTET.AUSJLA、TSPY_EMOTET.SMD3、TSPY_EMOTET.AUSJKW、TSPY_EMOTET.AUSJKV,這些變種的攻擊目標分別是美國、英國和加拿大。自2018年2月以來,Emotet一直在使用其加載程序功能來傳播Quakbot系列惡意軟件,該系列的行為模式類似于網絡蠕蟲。此外,Emotet還在傳播Ransom.UmbreCrypt勒索軟件和其他惡意軟件(如DRIDEX)。Emotet還加強了其功能和策略,包括使用第三方開源組件。比如,Emotet在Google的原型程序上構建了一個通信協議,該協議使用Lempel-Ziv-Markov(LZMA)壓縮,LZMA是一種用于執行無損數據壓縮的鏈算法。
最近,研究人員又發現了大量的EMOTET垃圾郵件活動,使用各種社交工程方法來誘使用戶下載和啟動其惡意載荷,通常采用惡意MS Word或PDF文檔的形式。
多態性和類蠕蟲功能的結合使其能夠快速傳播到網絡中,而無需任何其他用戶交互。EMOTET的頑強生命力讓任何專業的安全保護組織都感到棘手,特別是在考慮它可能對組織產生的影響時。除了信息竊取之外,EMOTET還可以對網絡基礎設施造成嚴重破壞并引發賬戶凍結,讓企業蒙受金錢和聲譽損失。
利用被劫持的電子郵件傳播URSNIF
URSNIF是一種銀行木馬,會竊取敏感資料并在受影響的主機上收集數據,包括電子郵件憑證、證書、瀏覽器cookie和來自webinjects的財務信息。研究人員最近發現了一個新的攻擊系列,該攻擊系列利用被劫持的合法電子郵件來發送URSNIF。在今年9月監測到的惡意郵件活動卻表明,攻擊者正在采取更為復雜的網絡釣魚形式。該惡意活動會劫持電子郵件賬戶,并對郵箱中已有的郵件內容進行回復,在回復的內容中附帶惡意軟件。對已有郵件的回復,實際上是連續通信中的一部分,因此這種特殊的釣魚方式難以被用戶發現,也難以檢測。通常,受害者都沒有意識到他們正在遭受釣魚郵件的威脅。這些攻擊與今年早些時候Talos發現的URSNIF/GOZI惡意郵件活動非常相似,該惡意活動使用暗云僵尸網絡中部分被劫持的計算機向已有郵件發送回信,很可能是URSNIF/GOZI惡意郵件活動的升級版本或演變版本。根據迄今為止收集到的數據,我們發現該惡意活動主要影響北美和歐洲地區,同時在亞洲和拉丁美洲地區也發現了類似的攻擊。本次惡意活動的主要目標是教育、金融和能源行業。然而,此次惡意活動還影響到了其他行業,包括房地產、交通運輸、制造業和政府。值得注意的是,惡意垃圾郵件是作為正在進行的對話的一部分發送的,這使得目標用戶更難以檢測到。此攻擊系列與商業電子郵件攻擊(BEC)有一些相似之處,但沒有電匯欺詐。
| 
