安全動態(tài)

惡意郵件野蠻生長!Excel文檔分發(fā)FlawedAmmyy

來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2019-06-26    瀏覽次數(shù):
 

信息來源:mottoin

在人們?nèi)粘9ぷ骱蜕钪卸紩盏礁鞣N郵件,我們應(yīng)如何確定電子郵件中是否包含惡意鏈接或附件,或者是否試圖用電子郵件來騙取人們的財務(wù)或個人信息?如果發(fā)現(xiàn)收件箱中有惡意郵件,那應(yīng)該怎么做呢?報告垃圾郵件并刪除就可以了嗎?

垃圾郵件分發(fā)FlawedAmmyy

惡意電子郵件通過互聯(lián)網(wǎng)傳播,就像雜草一般野蠻生長。微軟公司最近發(fā)現(xiàn)了一個新的威脅活動,其中包含復雜的感染鏈,將臭名昭著的FlawedAmmyy遠程管理工具(RAT)作為最終的有效載荷。威脅活動始于一封惡意電子郵件,其中包含.XLS附件和韓語內(nèi)容。

此前涉及FlawedAmmyy RAT的威脅活動一般歸因于黑客組織TA505,在成功執(zhí)行后門后,攻擊者能夠遠程控制設(shè)備、管理文件、捕獲屏幕。

感染鏈

惡意.XLS文件通過電子郵件發(fā)送,執(zhí)行該文件后會自動啟用一個宏功能,運行Windows Installer msiexec.exe用于下載和安裝MSI和MSP包。

下載的MSI存檔包含一個經(jīng)過數(shù)字簽名的可執(zhí)行文件,該文件被解壓并執(zhí)行另一個可執(zhí)行文件wsus.exe,后者又解壓并運行最終有效負載。根據(jù)微軟安全情報部門的說法,直接在內(nèi)存中傳輸?shù)淖罱K有效負載是FlawedAmmyy,于6月22日檢測到該樣本。

FlawedAmmy RAT主要的惡意功能包括:

遠程桌面控制;

文件系統(tǒng)管理;

代理支持;

音頻聊天。

全球垃圾郵件活動屢禁不止

攻擊卡巴斯基的研究報告,在2019年第一季度,垃圾郵件在全球電子郵件流量中的平均占比略微增長了0.06個百分點,達 55.97%。

2018年Q4至2019年Q1,垃圾郵件占全球郵件流量中的比例


2019年Q1,垃圾郵件源分布(國家/地區(qū))

中國(15.82%)是最大的垃圾郵件來源地區(qū),其次是美國(12.64%)。Top 3??偷聡?.86%)本季度下降至第五,將第三名拱手相讓給俄羅斯(6.98%)。巴西(6.95%)來到了第四,第六是法國(4.26%),后面依次是阿根廷(3.42%)、波蘭(3.36%)和印度(2.58%)。越南(2.18%)跌出了榜單。

2019年Q1,垃圾郵件中的惡意軟件家族Top10

在2019年第一季度,垃圾郵件中最常見的惡意軟件是Exploit.MSOffice.CVE-2017-11882,占比為7.73%。其次是Backdoor.Win32.Androm(7.62%)和Worm.Win32.WBVB(4.80%)。第四名是另一個Microsoft Office漏洞利用Exploit.MSOffice.CVE-2018-0802,其占比為(2.81%)。第五是Trojan-Spy.Win32.Noon(2.42%)。

惡意郵件預判

電子郵件是社交生活中不可或缺的溝通工具,各方之間都需要郵件來傳輸重要文件。這就招致了一個問題:人們經(jīng)常意識不到,他們每天用以承載重要信息的這些文件類型(如Word文檔、Excel表格和PDF等標準格式),也是黑客們散播惡意軟件的最常用的工具。

在我們開始確定如何處理惡意電子郵件之前,應(yīng)該學會幾個通用技巧來發(fā)現(xiàn)惡意活動的危險信號。

發(fā)件人地址不正確

檢查發(fā)件人地址是否與發(fā)件人的名稱匹配,以及公司的域名是否正確。要看到這一點,須確保接收電子郵件的客戶端設(shè)置了“顯示發(fā)件人的電子郵件地址”,而不僅僅是顯示名稱。這時我們需要擦亮雙眼,因為垃圾郵件制造者會制造一些令人信服的技巧。

勿隨意點擊嵌入式鏈接

當鼠標指針停留在電子郵件中的鏈接上,不要立即點擊。請再次擦亮您的雙眼,檢查目標網(wǎng)址是否是您想瀏覽的網(wǎng)站,它會不會下載一個惡意文件,他是否使用了鏈接縮短服務(wù)?

從郵件內(nèi)容上判斷

切記,天下沒有免費的午餐。比如根本沒有參與某活動卻中了大獎,這根本就是不可能的。這種垃圾郵件試圖通過它的內(nèi)容來實現(xiàn)釣魚行為,從而給惡意行為者帶來巨大收益。

不要隨意打開郵件附件

在任何情況下,都不要隨意打開郵件中的附件,這是最重要的。如果您從公司或個人那里收到未知預警的附件,請不要雙擊打開它。如果郵件是來自與您有業(yè)務(wù)往來的朋友或公司,則需要與發(fā)件人核對以確定打開附件是否安全。

 
 

上一篇:工業(yè)和信息化部辦公廳關(guān)于印發(fā)2019年第一批行業(yè)標準制修訂和外文版項目計劃的通知

下一篇:OpenSSH增加對存儲在RAM中的私鑰的保護