发现使用 PDF 的新型电子邮件营销活动
根据 IBM 的报告,电子邮件安全应该是重中之重,因为它仍然是数据泄露的头号初始攻击媒介。尽管如此,复杂的电子邮件攻击仍然有效地利用了人为因素,使受害者成为受害者。不幸的是,上个月又发现了一起利用 PDF 附件传播恶意软件的活动,黑客们找到了一种将恶意软件偷运到受害者设备上的新方法。
让我们回顾一下这次攻击是如何进行的
由 HP Wolf Security 发现的新网络犯罪活动利用不确定的用户行为,通过 PDF 文件将 Snake Keylogger 传播到易受攻击的端点上。
威胁者首先发送了一封主题为 "汇款发票 "的电子邮件,诱骗受害者以为他们会收到付款。当打开 PDF 文件时,Adobe Reader 会提示用户打开一个嵌入式文档(DOCX 文件),这可能是可疑的,但对受害者来说却相当混乱,因为嵌入式文档被命名为 "已验证"。这让受害者误以为 PDF 阅读器已经扫描了文件,可以使用了。
Word 文件很可能包含一个宏,如果启用该宏,就会从远程位置下载富文本文件 (RTF) 并运行它。然后,该文件会尝试下载 Snake Keylogger 恶意软件。
要使攻击成功,目标端点必须仍然易受特定漏洞的攻击。然而,这次攻击者没有发送恶意代码,而是诱使受害者下载恶意代码,从而绕过了基于检测的网关防御。
网络安全界认为,许多安全漏洞是可以避免的。例如,目前的漏洞是在 2017 年发现的,如果所有设备管理员都能及时更新操作系统,最近的一系列攻击本来是可以避免的。
根据Verizon 的 DBIR,获取企业信息有四大途径:凭证、网络钓鱼、利用漏洞和僵尸网络。如果不能阻止其中一个要素,就可能导致网络入侵。在本案例中,攻击者利用了两个要素进行攻击:精心编排的电子邮件网络钓鱼骗局误导毫无戒心的用户;利用漏洞安装恶意文件。
常用保护措施
由于新的网络犯罪活动使用电子邮件通过 PDF 文件向易受攻击的端点分发 Snake Keylogger,因此由于以下原因,安全最佳实践无法正常工作:
- 漏洞利用在几天内就会出现,但企业却需要数周或数月的时间来修补漏洞。
- 传统的电子邮件安全解决方案难以防范零日攻击,因为没有反病毒签名来检测它们。
- Sandbox 解决方案已成为高阶威胁检测的一种方法,但它们并不适合电子邮件,因为它们会在发送前增加额外的处理时间
- 除了对工作效率造成负面影响外,某些电子邮件安全威胁还能躲过沙盒检测。在这种情况下,我们采用了这两种方法:
- 行动-延迟执行
- 木马和宏
如果黑客想确保他们的恶意软件不会在沙盒环境中执行,那么另一种常见的方法就是等待终端用户交互。这可能是点击鼠标、敲击键盘或打开特定应用程序--可供选择的余地非常大。对于攻击者来说,最重要的是沙箱解决方案无法解释这些操作。没有这些用户操作,沙箱解决方案就无法检测到这些攻击。
木马文件的历史几乎与古希腊一样悠久,因此反病毒软件和沙箱解决方案可以检测出多种类型的木马文件,这一点值得称赞。一旦恶意软件隐藏在启用宏的 Microsoft Office 文档中,基于检测的解决方案就会失效。对攻击者来说,基于宏的攻击唯一的缺点是需要最终用户来启用,因此经常伴随着社交工程攻击。
零信任理念
组织应假定所有电子邮件和附件都是恶意的。Word 文档或 PDF 等常见的生产力文件可能会感染恶意软件和零时差攻击,但阻止访问电子邮件或 Word 文档是不现实的。反病毒和沙箱解决方案检测高级攻击的能力有限。正如我们在上述攻击中看到的,仅使用基于检测的保护从根本上说是错误的方法。相反,企业应该采用零信任安全方法,使用主动式解决方案,将所有文件视为恶意文件并实时清除。这种经过净化的附件可以立即发送给用户,从而不会妨碍业务效率,同时在后台留出时间进行基于检测的进一步分析(或动态分析),如果分析成功,甚至可以将原始文件发送给用户。
MetaDefender Email Security就是这样一种解决方案。它提供了一种全面的方法,通过删除所有潜在的恶意内容并将其重建为干净的文件,从而解除附件、电子邮件正文和标题的武装。因此,这些文件是完全可用和安全的,可为不安全用户提供充分保护,使其免受上述攻击。
OPSWAT 无需检测即可保护组织免受漏洞和武器化内容的侵害。其速度也比沙箱检测快 30 倍!
如果您想进一步了解如何弥补电子邮件安全漏洞以保护组织免受高阶威胁,请下载我们的免费白皮书《 Email Security 和关键基础设施保护的最佳实践》,或在此处阅读更多相关博客。
