日前,全球领先的Web安然、数据安然、电子邮件安然、移动安然及数据泄漏防护(DLP)解决方案供给商Websense的ThreatSeeker收集成功检测到一路操纵英国皇室宝宝出世新闻倡议的大年夜范围歹意报复打击勾当,并对其进行了有效反对。英国皇室宝宝的出世引发了各界人士的存眷,黑客们恰是操纵人们的好奇心理,倡议了此次歹意报复打击勾当。颠末Websense ThreatSeeker®智能云的不懈追踪,Websense安然专家们发现,早在剑桥公爵夫人临产的官方动静发布的几小时内,黑客们已倡议了报复打击。
Websense安然专家指出,迄今为止,Websense ThreatSeeker®智能云所检测到的歹意报复打击勾当都是操纵电子邮件钓饵来拐骗用户,将不知情的受害者重定向至托管BlackHole缝隙操纵东西包的网站,或是供给Windows SCR格局的歹意附件。Websense安然专家应用高级威胁的7阶段编制对当前检测到的歹意报复打击勾当进行了慢慢阐发,并具体说了然这些歹意报复打击勾当的传播路子,同时指出,粉碎这7个阶段中的任何一个环节都可以间断歹意内容。
钓饵
犯法分子充分操纵了人们的好奇心倡议了此次歹意报复打击勾当,他们精心设计了电子邮件钓饵,进行大年夜范围的传播。在比来一次报复打击中,Websense ThreatSeeker®智能云成功检测并有效反对了60,000多个电子邮件,这些电子邮件以“皇室宝宝:及时更新”为主题,摹拟ScribbleLIVE/CNN通知的情势,诱使受害者点击邮件。用户打开邮件以后,点击邮件中的任何一个链接城市被引至不异的歹意重定向网址。下图为Websense ThreatSeeker®智能云反对到的包含歹意链接的电子邮件:
Websense ThreatSeeker®智能云还检测到别的一种情势的歹意报复打击勾当,在这些报复打击勾当中,报复打击者将歹意附件作为钓饵,同时设计了极具吸引力的邮件主题来引发收件人的欢愉爱好,诱使他们打开邮件。Websense安然专家发现,Websense ThreatSeeker®智能云反对到的邮件均以“皇室宝宝”为主题,除此以外,邮件正文中还包含了图片情势的歹意附件,而该文件本身是一个歹意二进制文件,用来连接号令和节制(C2)根本架构,并下载进一步的歹意代码。以下图所示:
Websense安然专家提示用户,假定收到任何与热点事务相干的电子邮件提示或是不明信息,在点击链接或下载附件之前必然要肯定该信息的合法性。别的,驰名的新闻机构一般不会未经要求即向用户发送电子邮件,是以,用户应谨严对待来自驰名新闻机构的不明邮件。
报复打击者精心设计的钓饵老是操纵人们对重大年夜事务的好奇心,为保障数据安然,用户不单需要整合的安然解决方案来检测并防御经由过程社交收集和电子邮件传送的钓饵,还需要警戒收到的不明邮件。别的,若要体味最新新闻动态是,用户应尽可能选择直接拜候驰名新闻机构,以确保安然。
重定向
假定用户点击了歹意电子邮件中的链接,他们就会被引至中间网站,然后就会被重定向至托管缝隙操纵代码(如BlackHole缝隙操纵东西包)的网站。凡是环境下,重定向网站常常是被注进歹意代码的合法网站,报复打击者如许做的目标就是操纵被进侵网站的名誉来进行犯法勾当。点击链接时对这些网站进行及时阐发可觉得用户供给即时呵护,并且可以在受害者被重定向至缝隙网站之前有效粉碎报复打击链。
缝隙操纵东西包
Websense安然专家还发现,在此次报复打击勾当中,报复打击者大年夜量利用了BlackHole等常见的缝隙操纵东西包,这就使得犯法分子可以或许敏捷摆设报复打击根本举措措施,并且可以吸引更多的受害者。一旦用户拜候了缝隙操纵东西包托管网站,受害者的电脑很可能被报复打击者节制,来发送歹意代码。在这类环境下,该网站不但会发送Zeus等用来盗取用户财务信息的歹意软件,还可以操纵社会工程学编制来拐骗受害者安装假的Adobe Flash Player更新。Websense安然专家暗示,对网页内容和歹意代码的及时阐发则可以呵护用户免受已知和未知威胁的报复打击。
木马文件
一旦缝隙成功进侵受害者电脑,报复打击者就会操纵木马文件和下载器在受害者电脑上安装歹意代码。到今朝为止,Websense ThreatSeeker®智能云检测到的两类报复打击勾当中,一种歹意报复打击勾当只是简单地将歹意文件附加在最初的电子邮件钓饵中,别的一种歹意报复打击勾当则是操纵受害者对钓饵的相信,将他们重定向至供给歹意文件的缝隙操纵网站。为了遁藏传统解决方案的检测,报复打击者常常会对这些文件进行加密措置,是以,企业需要摆设更进步前辈的解决方案来辨认歹意行动,如Websense的ThreatScope™。
主动传递
一旦受害者的电脑安装了歹意代码,它就会测验测验进行主动传递,并且会连接C2根本架构,领受来自报复打击者的号令。相较于在报复打击的初期进行反对,及时检测不法出站内容可以更有效地禁止歹意代码的主动传递,从而达到阻断报复打击的目标。
数据盗取
报复打击者的最终目标是盗取小我可辨认信息(PII)、企业奥秘数据等。他们试图操纵慢速“批次措置”来自被进侵收集的数据或是成立自定义加密法度等编制来盗取数据,然后将其用于进一步的报复打击中或是纯真获得犯法收益。企业可以摆设滴管式DLP、OCR阐发和自定义加密法度检测等高级功能,避免数据泄漏和数据盗取,呵护企业数据安然。
Websense安然专家指出,此类报复打击常常都是伴跟着热点时局或全球性的新闻的爆发而倡议的。Websense高级分类引擎(ACE)可以帮忙用户在报复打击的各个阶段防备此类新兴的收集威胁,确保数据安然无虞。Websense安然专家进一步暗示,当然有关王室婴儿的官方通知布告还没有发布,可是Websense安然尝试室仍将继续监控此次报复打击勾当,周全呵护用户信息安然。