安全預(yù)警：留意基于文檔的惡意軟件

梭子魚網(wǎng)絡(luò)助力您的企業(yè)阻斷不斷演變的惡意軟件攻擊

梭子魚研究人員發(fā)現(xiàn)，近期基于文檔的惡意軟件的使用出現(xiàn)了驚人的新增長。最近的一份電子郵件分析顯示，在過去12個月檢測到的惡意文檔中，有48%來源于文檔。梭子魚已識別了超過30萬份惡意文檔!

自2019年初以來，這類基于文檔的攻擊頻率急劇上升。今年第一季度，在所有被檢測到的惡意軟件中，59%來源于文檔，而前一年這一比例為41%。

首先，我們來詳細了解一下基于文檔的惡意軟件攻擊和解決方案，以便幫助進行檢測和阻止。

下圖為典型帶有惡意軟件的文檔攻擊樣板

網(wǎng)絡(luò)罪犯使用電子郵件發(fā)送包含惡意軟件的文檔，也稱為惡意軟件。通常情況下，惡意軟件要么直接隱藏在文檔本身之中，要么通過嵌入的腳本從外部網(wǎng)站下載。常見的惡意軟件包括病毒、木馬、間諜軟件、蠕蟲和勒索軟件。

惡意軟件攻擊的現(xiàn)代框架

在數(shù)十年依賴于基于標記的方法之后(該方法只能在標記被導(dǎo)出后才能有效阻止惡意軟件)，安全公司現(xiàn)在考慮惡意軟件檢測時，會問“是什么使它具有惡意?”，而非“如何檢測我知道具有惡意的內(nèi)容?”重點是嘗試在一個文檔被標記為有害之前檢測它可能造成危害的指標。

一種用于更好理解攻擊的常見模型是網(wǎng)絡(luò)殺傷鏈(Cyber Kill Chain)，它是大多數(shù)攻擊者破解某個系統(tǒng)時所采取步驟的七階段模型：

· 偵察—目標的選擇與研究

· 武器化—制造對目標的攻擊，通常使用惡意軟件和/或漏洞

· 交付—發(fā)動攻擊

· 開發(fā)—利用攻擊包中提供的漏洞

· 安裝—在目標系統(tǒng)中創(chuàng)建持久性駐留

· 命令和控制—使用來自網(wǎng)絡(luò)外部的持久性駐留

· 目標上的行動—達到目標(即攻擊的目的)，往往是泄露數(shù)據(jù)

大多數(shù)惡意軟件以垃圾郵件的形式發(fā)送到廣泛傳播的電子郵件列表中，這些列表在地下網(wǎng)絡(luò)中被出售、交易、聚合和修改。像正在進行的“性勒索詐騙”中使用的組合列表就是這種列表聚合和實際使用的范例。

現(xiàn)在攻擊者已經(jīng)有了潛在的受害者列表，使用社會工程讓用戶打開附加的惡意文檔即可開始惡意軟件運動(殺傷鏈的交付階段)。Microsoft和Adobe文檔類型是最常用的基于文檔的惡意軟件攻擊的載體，包括Word、Excel、PowerPoint、Acrobat和PDF文檔。

一旦打開文檔，惡意軟件就會自動安裝，或者使用高度模糊的宏/腳本從外部源下載并安裝惡意軟件。偶爾會使用鏈接或其它可點擊的項目，但這種方法在網(wǎng)絡(luò)釣魚攻擊中比惡意軟件攻擊更常見。當惡意文檔被打開時，正在下載并運行的可執(zhí)行文件表示殺傷鏈中的安裝階段。

歸檔文檔和腳本文檔是另外兩種最常見的基于附件的惡意軟件傳播方法。攻擊者經(jīng)常對文檔擴展名進行欺騙，試圖迷惑用戶并讓他們打開惡意文檔。

現(xiàn)代惡意軟件攻擊非常復(fù)雜而且分為多層;用于檢測和阻止它們的解決方案也是如此。

檢測和阻止惡意軟件攻擊

黑名單—隨著IP空間越來越有限，垃圾郵件制造者越來越多使用其自己的基礎(chǔ)設(shè)施。通常，相同的IP使用足夠長時間后，相對容易便第三方檢測到并將其列入黑名單。即使是被入侵的網(wǎng)站和僵尸網(wǎng)絡(luò)，一旦檢測到足夠多的垃圾郵件，也有可能通過阻止IP暫時阻止攻擊。

垃圾郵件過濾器/網(wǎng)絡(luò)釣魚檢測系統(tǒng)—雖然許多惡意郵件看上去令人信服，但垃圾郵件過濾器、網(wǎng)絡(luò)釣魚檢測系統(tǒng)和相關(guān)安全軟件可以捕捉到微妙的線索，以幫助阻止?jié)撛诘耐{信息和附件進入電子郵件收件箱。

惡意軟件檢測—對于附帶有惡意文檔的電子郵件，靜態(tài)和動態(tài)分析都可以獲取文檔試圖下載并運行可執(zhí)行文件的指標，而這是任何文檔都不應(yīng)進行的操作。通?？梢允褂脝l(fā)式或威脅情報系統(tǒng)標記可執(zhí)行文件的URL。靜態(tài)分析檢測到的混淆也可以指示文檔是否可疑。

先進的防火墻—如果用戶打開惡意附件或點擊路過式下載的鏈接，能夠進行惡意軟件分析的先進網(wǎng)絡(luò)防火墻在可執(zhí)行文件試圖通過時對其進行標記，從而阻止攻擊。

梭子魚郵件安全網(wǎng)關(guān)可管理和過濾所有入站和出站電子郵件，保護企業(yè)免受因郵件而帶來的網(wǎng)絡(luò)威脅，避免數(shù)據(jù)泄露事件發(fā)生。梭子魚郵件安全網(wǎng)關(guān)可防御入站惡意軟件，垃圾郵件，網(wǎng)絡(luò)釣魚和DoS攻擊等。同時，梭子魚PhishLine還可提供員工安全意識培訓(xùn)，增強員工安全防范意識。

關(guān)于梭子魚網(wǎng)絡(luò)

梭子魚網(wǎng)絡(luò)秉承“復(fù)雜IT簡單化”理念，為全球各行業(yè)組織提供性能卓越，簡單易用，高效穩(wěn)定的安全與存儲解決方案。全球超過150,000家組織與機構(gòu)選擇信賴梭子魚網(wǎng)絡(luò)安全與存儲解決方案，梭子魚為用戶提供真正的端到端的安全防護，同時支持硬件，虛擬，云端以及各類混合的靈活部署模式。梭子魚以客戶為中心的業(yè)務(wù)模式專注于提供高價值、基于用戶的IT解決方案。

生成海報

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。