根据ASRC研究中心 (Asia Spam-message Research Center) 根据守内安的观察,2021年第二季度的垃圾邮件总量比上一季度增加了50%Office恶意文件的攻击邮件则较上一季增加3.5倍,脱机钓鱼的数量增加了2.4倍;针对Microsoft Office利用漏洞CVE201711882及CVE20180802主要分析了第二季的重要攻击手法和样本:
诈骗和钓鱼邮件仍然很流行
在第二季度,由于病毒变种,全球疫情仍在许多地区实施远程工作或在家工作。钓鱼邮件似乎没有什么威胁,但一旦账号密码被捕获,攻击者可以通过开放的远程工作提供外部服务和单个账户认证服务(SSO,Single sign-on)合法利用企业开放服务,形成入侵企业的突破口。
钓鱼和诈骗邮件在第二季非常流行
连外下载的恶意Office文件
在第二季中,我们发现了许多恶意Office文件样本Office文件样本的攻击不使用漏洞,也不包括可疑的宏或VBA等待操作,但简单使用XML连接外部,打开另一个恶意文件。这个样本在今年年初开始流动,第二季有明显增加的趋势。
以订单为社会工程手段,引诱受害者打开恶意文件
这种恶意开文件的恶意Office文件样本,大半以上docx夹在电子邮件附件中的方式,少数使用xls及ppam夹带的方式。超链接将通过短网站下载,如:xy2.eu、bit.ly、linkzip.me、bit.do、u.nu、is.gd或者其他编码网站隐藏;下载的恶意文件大多是 .wbk(Microsoft Word备份)、.wiz(Microsoft Wizard File)、.dot(Microsoft Word范本)、.doc,虽然有些类型的文档并不常见,但只要计算机安装Microsoft Office这些恶意文件可以通过相关软件打开和执行。恶意文件执行后,将抓取中继主机vbc.exe或reg.exe并执行,然后成为常驻后门程序。
恶意文件双扩展名
第二季有很多双扩展名的攻击性电子邮件。由于一些自动程序或操作习惯,一个文件似乎有两个扩展名,而计算机对这个文件的判断主要是最后一个扩展名。
以下是需要特别注意的双重扩展名称:
比较特别的是.pdf.ppam这种攻击利用链接到短网站,然后转向Google的blogspot通过解码服务blogspot服务隐藏的信息,然后连接到俗称的信息「网站时光机」archive.org服务下载攻击程序。这种行为是为了避免层层的信息安全保护水平。
.pdf.ppam攻击附件执行后,将通过隐藏的方式进行vba下载恶意文件
暗藏的vba连往bitly.com短网站位置
短网站指向空白内容Google blogspot页面
玄机隐藏在网页的原始代码中,恶意程式的编码文件,俗称「网站时光机」archive.org合法服务
编码文件翻译,可以看到完整的攻击程序
结语
根据上述样本的攻击,使用不易检测的技术来避免触发安全报警是攻击者的趋势,但我们也发现,由于过度迂回和使用模糊的法律服务,这些将违反企业的一般沟通和互动行为。因此,可以从这些差异中制定保护安全策略!
除了上面介绍的攻击样本外,我们还看到了更乱的添加CVE201711882因此,安全设备的特性更新是必不可少的;在一些攻击邮件的标头上,有时会发现隐藏的重要信息,例如References标头有时会透露受害者或企业也遭受这波攻击,在调查事件时可以推断攻击者的目的。
【本文是51CTO专栏作者“安全牛”请通过安全牛(微信微信官方账号)转载原创文章id:gooann-sectv)获取授权】
戳这里,看作者更好的文章