热点安全

Hot Security

揭秘2017第一季新型高级攻击手法:Softnext守内安产品已可拦截!

Softnext守内安联合ASRC亚太垃圾信息研究中心研究发现:为了获得更大的攻击利益、与躲避防御机制的侦测,黑客开始跳脱原本的攻击思维,发展处各种新型的高级攻击手段。

在2017的第一季,陆陆续续发现了不少来自电子邮件的新型攻击。虽然大部分的企业开始意识到电子邮件是网络威胁主要的安全缺口,但是随着攻击手段的日益更新,企业防护的难度与风险也越来越高,如果没有更高机制的保护,仍然无法抵挡这类层出不穷的攻击。

搭载与SPAM SQR下的ADM高级防御机制,目前已可有效拦截下列新型高级攻击!

 

最新攻击手段有:

手段1:发送静态钓鱼网页到被攻击者电脑

将钓鱼的网页以静态网页的方式,将内容呈现在被攻击者的本地PC上;当被攻击者信以为真并填入个人信息数据时,会以post方法传送。部分上网行为管理软件无法有效防御!

手段2:发送藏有可判定作业系统环境VBA的doc文档

VBA可判定作业系统环境是Windows或Mac,再决定接下来的攻击手段。

手段3:无文档恶意程序攻击(近期危险级别较高的攻击!)

通过VBA呼叫Windows內建的PowerShell,将恶意文档在内存中执行!

手段4:新漏洞CVE-2017-0199

可以让被攻击者在打开恶意的RTF文档后,无需被攻击者的配合,便直接链接到恶意网页的服务器,自动下载并执行被刻意设置的假.hta文档,并直接执行其内容。

 

新型高级攻击手段详解:

手段1:发送静态钓鱼网页到被攻击者电脑

在附件文件中夹带.htm文档,或通过一个PDF文档内藏phishing Link连往一个静态网页后,开启钓鱼网页内容的攻击。不同于以往,这类攻击不是让受害者连往恶意网站,而是将钓鱼的网页以静态网页的方式,将内容呈现在受害者的本地端计算机;当受害者误信钓鱼网页内容,并填入敏感数据送出时,会以post的方法进行传送,因此,部分的上网安全管控软件就无法有效避免受害者接触及传送网络钓鱼的内容。

(图为:通过一个PDF文件内藏phishing Link连往一个静态网页)

(图为,静态网页内容)
(图为,静态网页被展示时,网址列不是一个网址)
(图为,用以骗取电子邮件账号密码的脱机静态钓鱼网页)

 

手段2:发送藏有VBA的doc文档

从字面上看,BEC还真不容易理解,到Google搜一下,首先看到的竟然是FBI的定义。引用FBI给的图,基本就能明白BEC诈骗的意思了。

在电子邮件的内容附件放置一个.doc文档,这个.doc文档藏有恶意的VBA,且这个VBA可以判定你所使用的操作系统环境为Windows或是Mac 再决定他要采取的攻击手段。

(图为,恶意文件中取出的VBA,用以判断操作系统的部分程序代码)

 

手段3:无文档恶意程序攻击

近期较为危险的无文档恶意软件攻击,通过发送一份恶意的Office文件,再直接通过VBA呼叫Windows内建的PowerShell开启,将恶意文档执行于内存之中。

(图为,直接通过VBA呼叫Windows内建的PowerShell开启,将恶意文档执行于内存之中)

 

手段4:新漏洞CVE-2017-0199

最近被发现的漏洞CVE-2017-0199,它可以让被攻击者在打开恶意的RTF文档后,不必被攻击者配合,便直接连外至恶意网页服务器,下载并执行被刻意设置的假.hta文档,并直接执行其内容。

 

HMDS防御手段:

从字面上看,BEC还真不容易理解,到Google搜一下,首先看到的竟然是FBI的定义。引用FBI给的图,基本就能明白BEC诈骗的意思了。

最新HMDS(High performance Mail Defense System)ADM高级防御机制模块已更新,可防御鱼叉式攻击、APT等新兴高级攻击手段的威胁邮件。研究团队经长时间的追踪黑客攻击行为,模拟产生静态特征。程序会自动解压缩文件进行扫描,可发掘潜在代码、隐藏的逻辑路径及反向解析程序,以便进行高级恶意程序分析比对。可提高拦截携带零时差(0-day)恶意程序、APT攻击工具及文件漏洞的攻击附件等攻击手法的邮件能力。

ADM特色:

  • 特征分析:有别于一般防病毒厂商用被动式蜜罐捕获,采取主动追踪攻击族群并产生、更新特征;
  • 增加入侵难度:多层次信息安全防御机制,达到纵深防御的全新效果;
  • 风险披露:同事揭露漏洞编码、攻击工具及攻击族群等最新信息;
  • 快速反应:线上反馈机制,缩短响应时间。

综上,我们可以看见攻击的演化十分快速且多样,提醒用户不可不慎防。目前SPAM SQR搭配ADM模块配有同样有效拦截各种来自电子邮件的高级攻击。

 

登入

登入成功