日前,全球領先的Web安全���、數(shù)據(jù)安全���、電子郵件安全���、移動安全及數(shù)據(jù)泄露防護(DLP)解決方案提供商Websense的ThreatSeeker網(wǎng)絡成功檢測到一起利用英國皇室寶寶誕生新聞發(fā)起的大范圍惡意攻擊活動,并對其進行了有效攔截��。英國皇室寶寶的誕生引起了各界人士的關注�����,黑客們恰是利用人們的好奇心理����,發(fā)起了此次惡意攻擊活動。經(jīng)過Websense ThreatSeeker®智能云的不懈追蹤��,Websense安全專家們發(fā)現(xiàn)�����,早在劍橋公爵夫人臨產(chǎn)的官方消息發(fā)布的幾小時內�,黑客們已經(jīng)發(fā)起了攻擊。
Websense安全專家指出,迄今為止�,Websense ThreatSeeker®智能云所檢測到的惡意攻擊活動都是利用電子郵件誘餌來誘騙用戶,將不知情的受害者重定向至托管BlackHole漏洞利用工具包的網(wǎng)站�����,或是提供Windows SCR格式的惡意附件����。Websense安全專家運用高級威脅的7階段方法對當前檢測到的惡意攻擊活動進行了逐步分析,并詳細說明了這些惡意攻擊活動的傳播途徑����,同時指出,破壞這7個階段中的任何一個環(huán)節(jié)都可以中斷惡意內容�����。
誘餌
犯罪分子充分利用了人們的好奇心發(fā)起了此次惡意攻擊活動����,他們精心設計了電子郵件誘餌�����,進行大范圍的傳播���。在最近一次攻擊中�,Websense ThreatSeeker®智能云成功檢測并有效攔截了60,000多個電子郵件,這些電子郵件以“皇室寶寶:實時更新”為主題�,模擬ScribbleLIVE/CNN通知的形式,誘使受害者點擊郵件���。用戶打開郵件之后����,點擊郵件中的任何一個鏈接都會被引至相同的惡意重定向網(wǎng)址���。下圖為Websense ThreatSeeker®智能云攔截到的包含惡意鏈接的電子郵件:
Websense ThreatSeeker®智能云還檢測到另外一種形式的惡意攻擊活動���,在這些攻擊活動中,攻擊者將惡意附件作為誘餌����,同時設計了極具吸引力的郵件主題來引起收件人的興趣,誘使他們打開郵件�。Websense安全專家發(fā)現(xiàn),Websense ThreatSeeker®智能云攔截到的郵件均以“皇室寶寶”為主題��,除此之外,郵件正文中還包含了圖片形式的惡意附件����,而該文件本身是一個惡意二進制文件,用來連接命令和控制(C2)基礎架構�����,并下載進一步的惡意代碼�。如下圖所示:
Websense安全專家提醒用戶,如果收到任何與熱門事件相關的電子郵件提示或是不明信息�,在點擊鏈接或下載附件之前一定要確定該信息的合法性。此外�,知名的新聞機構一般不會未經(jīng)請求即向用戶發(fā)送電子郵件,因此��,用戶應謹慎對待來自知名新聞機構的不明郵件���。
攻擊者精心設計的誘餌總是利用人們對重大事件的好奇心�����,為保障數(shù)據(jù)安全,用戶不但需要整合的安全解決方案來檢測并防御通過社交網(wǎng)絡和電子郵件傳送的誘餌���,還需要警惕收到的不明郵件��。此外�����,若要了解最新新聞動態(tài)是�����,用戶應盡量選擇直接訪問知名新聞機構�,以確保安全。
重定向
如果用戶點擊了惡意電子郵件中的鏈接����,他們就會被引至中間網(wǎng)站,然后就會被重定向至托管漏洞利用代碼(如BlackHole漏洞利用工具包)的網(wǎng)站���。通常情況下���,重定向網(wǎng)站往往是被注入惡意代碼的合法網(wǎng)站,攻擊者這樣做的目的就是利用被入侵網(wǎng)站的聲譽來進行犯罪活動���。點擊鏈接時對這些網(wǎng)站進行實時分析可以為用戶提供即時保護�����,而且可以在受害者被重定向至漏洞網(wǎng)站之前有效破壞攻擊鏈��。
漏洞利用工具包
Websense安全專家還發(fā)現(xiàn)����,在此次攻擊活動中,攻擊者大量使用了BlackHole等常見的漏洞利用工具包����,這就使得犯罪分子能夠迅速部署攻擊基礎設施,并且可以吸引更多的受害者���。一旦用戶訪問了漏洞利用工具包托管網(wǎng)站�����,受害者的電腦很可能被攻擊者控制����,來發(fā)送惡意代碼����。在這種情況下��,該網(wǎng)站不僅會發(fā)送Zeus等用來竊取用戶財務信息的惡意軟件,還可以利用社會工程學方法來誘騙受害者安裝假的Adobe Flash Player更新��。Websense安全專家表示�����,對網(wǎng)頁內容和惡意代碼的實時分析則可以保護用戶免受已知和未知威脅的攻擊�����。
木馬文件
一旦漏洞成功入侵受害者電腦����,攻擊者就會利用木馬文件和下載器在受害者電腦上安裝惡意代碼。到目前為止����,Websense ThreatSeeker®智能云檢測到的兩類攻擊活動中,一種惡意攻擊活動只是簡單地將惡意文件附加在最初的電子郵件誘餌中���,另外一種惡意攻擊活動則是利用受害者對誘餌的信賴���,將他們重定向至提供惡意文件的漏洞利用網(wǎng)站����。為了躲避傳統(tǒng)解決方案的檢測�����,攻擊者往往會對這些文件進行加密處理�,因此,企業(yè)需要部署更先進的解決方案來識別惡意行為����,如Websense的ThreatScope™。
自動通報
一旦受害者的電腦安裝了惡意代碼�����,它就會嘗試進行自動通報�,并且會連接C2基礎架構,接收來自攻擊者的命令����。相較于在攻擊的初期進行攔截,實時檢測非法出站內容可以更有效地阻止惡意代碼的自動通報�,從而達到阻斷攻擊的目的。
數(shù)據(jù)竊取
攻擊者的最終目的是竊取個人可識別信息(PII)����、企業(yè)機密數(shù)據(jù)等���。他們試圖利用慢速“批次處理”來自被入侵網(wǎng)絡的數(shù)據(jù)或是創(chuàng)建自定義加密程序等方法來竊取數(shù)據(jù)����,然后將其用于進一步的攻擊中或是單純獲得犯罪收益。企業(yè)可以部署滴管式DLP���、OCR分析和自定義加密程序檢測等高級功能����,防止數(shù)據(jù)泄露和數(shù)據(jù)竊取��,保護企業(yè)數(shù)據(jù)安全�����。
Websense安全專家指出����,此類攻擊往往都是伴隨著熱門時事或全球性的新聞的爆發(fā)而發(fā)起的。Websense高級分類引擎(ACE)可以幫助用戶在攻擊的各個階段防范此類新興的網(wǎng)絡威脅���,確保數(shù)據(jù)安全無虞�����。Websense安全專家進一步表示�,雖然有關王室嬰兒的官方公告尚未發(fā)布,但是Websense安全實驗室仍將繼續(xù)監(jiān)控此次攻擊活動���,全面保護用戶信息安全�。
