安全預(yù)警：留意基于文檔的惡意軟件

梭子魚(yú)網(wǎng)絡(luò)助力您的企業(yè)阻斷不斷演變的惡意軟件攻擊

梭子魚(yú)研究人員發(fā)現(xiàn)，近期基于文檔的惡意軟件的使用出現(xiàn)了驚人的新增長(zhǎng)。最近的一份電子郵件分析顯示，在過(guò)去12個(gè)月檢測(cè)到的惡意文檔中，有48%來(lái)源于文檔。梭子魚(yú)已識(shí)別了超過(guò)30萬(wàn)份惡意文檔!

自2019年初以來(lái)，這類基于文檔的攻擊頻率急劇上升。今年第一季度，在所有被檢測(cè)到的惡意軟件中，59%來(lái)源于文檔，而前一年這一比例為41%。

首先，我們來(lái)詳細(xì)了解一下基于文檔的惡意軟件攻擊和解決方案，以便幫助進(jìn)行檢測(cè)和阻止。

下圖為典型帶有惡意軟件的文檔攻擊樣板

網(wǎng)絡(luò)罪犯使用電子郵件發(fā)送包含惡意軟件的文檔，也稱為惡意軟件。通常情況下，惡意軟件要么直接隱藏在文檔本身之中，要么通過(guò)嵌入的腳本從外部網(wǎng)站下載。常見(jiàn)的惡意軟件包括病毒、木馬、間諜軟件、蠕蟲(chóng)和勒索軟件。

惡意軟件攻擊的現(xiàn)代框架

在數(shù)十年依賴于基于標(biāo)記的方法之后(該方法只能在標(biāo)記被導(dǎo)出后才能有效阻止惡意軟件)，安全公司現(xiàn)在考慮惡意軟件檢測(cè)時(shí)，會(huì)問(wèn)“是什么使它具有惡意?”，而非“如何檢測(cè)我知道具有惡意的內(nèi)容?”重點(diǎn)是嘗試在一個(gè)文檔被標(biāo)記為有害之前檢測(cè)它可能造成危害的指標(biāo)。

一種用于更好理解攻擊的常見(jiàn)模型是網(wǎng)絡(luò)殺傷鏈(Cyber Kill Chain)，它是大多數(shù)攻擊者破解某個(gè)系統(tǒng)時(shí)所采取步驟的七階段模型：

· 偵察—目標(biāo)的選擇與研究

· 武器化—制造對(duì)目標(biāo)的攻擊，通常使用惡意軟件和/或漏洞

· 交付—發(fā)動(dòng)攻擊

· 開(kāi)發(fā)—利用攻擊包中提供的漏洞

· 安裝—在目標(biāo)系統(tǒng)中創(chuàng)建持久性駐留

· 命令和控制—使用來(lái)自網(wǎng)絡(luò)外部的持久性駐留

· 目標(biāo)上的行動(dòng)—達(dá)到目標(biāo)(即攻擊的目的)，往往是泄露數(shù)據(jù)

大多數(shù)惡意軟件以垃圾郵件的形式發(fā)送到廣泛傳播的電子郵件列表中，這些列表在地下網(wǎng)絡(luò)中被出售、交易、聚合和修改。像正在進(jìn)行的“性勒索詐騙”中使用的組合列表就是這種列表聚合和實(shí)際使用的范例。

現(xiàn)在攻擊者已經(jīng)有了潛在的受害者列表，使用社會(huì)工程讓用戶打開(kāi)附加的惡意文檔即可開(kāi)始惡意軟件運(yùn)動(dòng)(殺傷鏈的交付階段)。Microsoft和Adobe文檔類型是最常用的基于文檔的惡意軟件攻擊的載體，包括Word、Excel、PowerPoint、Acrobat和PDF文檔。

一旦打開(kāi)文檔，惡意軟件就會(huì)自動(dòng)安裝，或者使用高度模糊的宏/腳本從外部源下載并安裝惡意軟件。偶爾會(huì)使用鏈接或其它可點(diǎn)擊的項(xiàng)目，但這種方法在網(wǎng)絡(luò)釣魚(yú)攻擊中比惡意軟件攻擊更常見(jiàn)。當(dāng)惡意文檔被打開(kāi)時(shí)，正在下載并運(yùn)行的可執(zhí)行文件表示殺傷鏈中的安裝階段。

歸檔文檔和腳本文檔是另外兩種最常見(jiàn)的基于附件的惡意軟件傳播方法。攻擊者經(jīng)常對(duì)文檔擴(kuò)展名進(jìn)行欺騙，試圖迷惑用戶并讓他們打開(kāi)惡意文檔。

現(xiàn)代惡意軟件攻擊非常復(fù)雜而且分為多層;用于檢測(cè)和阻止它們的解決方案也是如此。

檢測(cè)和阻止惡意軟件攻擊

黑名單—隨著IP空間越來(lái)越有限，垃圾郵件制造者越來(lái)越多使用其自己的基礎(chǔ)設(shè)施。通常，相同的IP使用足夠長(zhǎng)時(shí)間后，相對(duì)容易便第三方檢測(cè)到并將其列入黑名單。即使是被入侵的網(wǎng)站和僵尸網(wǎng)絡(luò)，一旦檢測(cè)到足夠多的垃圾郵件，也有可能通過(guò)阻止IP暫時(shí)阻止攻擊。

垃圾郵件過(guò)濾器/網(wǎng)絡(luò)釣魚(yú)檢測(cè)系統(tǒng)—雖然許多惡意郵件看上去令人信服，但垃圾郵件過(guò)濾器、網(wǎng)絡(luò)釣魚(yú)檢測(cè)系統(tǒng)和相關(guān)安全軟件可以捕捉到微妙的線索，以幫助阻止?jié)撛诘耐{信息和附件進(jìn)入電子郵件收件箱。

惡意軟件檢測(cè)—對(duì)于附帶有惡意文檔的電子郵件，靜態(tài)和動(dòng)態(tài)分析都可以獲取文檔試圖下載并運(yùn)行可執(zhí)行文件的指標(biāo)，而這是任何文檔都不應(yīng)進(jìn)行的操作。通?？梢允褂脝l(fā)式或威脅情報(bào)系統(tǒng)標(biāo)記可執(zhí)行文件的URL。靜態(tài)分析檢測(cè)到的混淆也可以指示文檔是否可疑。

先進(jìn)的防火墻—如果用戶打開(kāi)惡意附件或點(diǎn)擊路過(guò)式下載的鏈接，能夠進(jìn)行惡意軟件分析的先進(jìn)網(wǎng)絡(luò)防火墻在可執(zhí)行文件試圖通過(guò)時(shí)對(duì)其進(jìn)行標(biāo)記，從而阻止攻擊。

梭子魚(yú)郵件安全網(wǎng)關(guān)可管理和過(guò)濾所有入站和出站電子郵件，保護(hù)企業(yè)免受因郵件而帶來(lái)的網(wǎng)絡(luò)威脅，避免數(shù)據(jù)泄露事件發(fā)生。梭子魚(yú)郵件安全網(wǎng)關(guān)可防御入站惡意軟件，垃圾郵件，網(wǎng)絡(luò)釣魚(yú)和DoS攻擊等。同時(shí)，梭子魚(yú)PhishLine還可提供員工安全意識(shí)培訓(xùn)，增強(qiáng)員工安全防范意識(shí)。

關(guān)于梭子魚(yú)網(wǎng)絡(luò)

梭子魚(yú)網(wǎng)絡(luò)秉承“復(fù)雜IT簡(jiǎn)單化”理念，為全球各行業(yè)組織提供性能卓越，簡(jiǎn)單易用，高效穩(wěn)定的安全與存儲(chǔ)解決方案。全球超過(guò)150,000家組織與機(jī)構(gòu)選擇信賴梭子魚(yú)網(wǎng)絡(luò)安全與存儲(chǔ)解決方案，梭子魚(yú)為用戶提供真正的端到端的安全防護(hù)，同時(shí)支持硬件，虛擬，云端以及各類混合的靈活部署模式。梭子魚(yú)以客戶為中心的業(yè)務(wù)模式專注于提供高價(jià)值、基于用戶的IT解決方案。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。