日前,全球領(lǐng)先的Web安全�����、數(shù)據(jù)安全�、電子郵件安全、移動(dòng)安全及數(shù)據(jù)泄露防護(hù)(DLP)解決方案提供商Websense的ThreatSeeker網(wǎng)絡(luò)成功檢測到一起利用英國皇室寶寶誕生新聞發(fā)起的大范圍惡意攻擊活動(dòng)�����,并對其進(jìn)行了有效攔截��。英國皇室寶寶的誕生引起了各界人士的關(guān)注����,黑客們恰是利用人們的好奇心理�����,發(fā)起了此次惡意攻擊活動(dòng)。經(jīng)過Websense ThreatSeeker®智能云的不懈追蹤���,Websense安全專家們發(fā)現(xiàn)����,早在劍橋公爵夫人臨產(chǎn)的官方消息發(fā)布的幾小時(shí)內(nèi)��,黑客們已經(jīng)發(fā)起了攻擊�。
Websense安全專家指出,迄今為止���,Websense ThreatSeeker®智能云所檢測到的惡意攻擊活動(dòng)都是利用電子郵件誘餌來誘騙用戶����,將不知情的受害者重定向至托管BlackHole漏洞利用工具包的網(wǎng)站��,或是提供Windows SCR格式的惡意附件���。Websense安全專家運(yùn)用高級威脅的7階段方法對當(dāng)前檢測到的惡意攻擊活動(dòng)進(jìn)行了逐步分析����,并詳細(xì)說明了這些惡意攻擊活動(dòng)的傳播途徑���,同時(shí)指出�����,破壞這7個(gè)階段中的任何一個(gè)環(huán)節(jié)都可以中斷惡意內(nèi)容�。
誘餌
犯罪分子充分利用了人們的好奇心發(fā)起了此次惡意攻擊活動(dòng),他們精心設(shè)計(jì)了電子郵件誘餌�,進(jìn)行大范圍的傳播。在最近一次攻擊中��,Websense ThreatSeeker®智能云成功檢測并有效攔截了60,000多個(gè)電子郵件�,這些電子郵件以“皇室寶寶:實(shí)時(shí)更新”為主題,模擬ScribbleLIVE/CNN通知的形式�,誘使受害者點(diǎn)擊郵件。用戶打開郵件之后�,點(diǎn)擊郵件中的任何一個(gè)鏈接都會被引至相同的惡意重定向網(wǎng)址。下圖為Websense ThreatSeeker®智能云攔截到的包含惡意鏈接的電子郵件:
Websense ThreatSeeker®智能云還檢測到另外一種形式的惡意攻擊活動(dòng)���,在這些攻擊活動(dòng)中�,攻擊者將惡意附件作為誘餌�����,同時(shí)設(shè)計(jì)了極具吸引力的郵件主題來引起收件人的興趣��,誘使他們打開郵件�����。Websense安全專家發(fā)現(xiàn)����,Websense ThreatSeeker®智能云攔截到的郵件均以“皇室寶寶”為主題,除此之外�,郵件正文中還包含了圖片形式的惡意附件,而該文件本身是一個(gè)惡意二進(jìn)制文件�����,用來連接命令和控制(C2)基礎(chǔ)架構(gòu)�����,并下載進(jìn)一步的惡意代碼�。如下圖所示:
Websense安全專家提醒用戶,如果收到任何與熱門事件相關(guān)的電子郵件提示或是不明信息��,在點(diǎn)擊鏈接或下載附件之前一定要確定該信息的合法性����。此外��,知名的新聞機(jī)構(gòu)一般不會未經(jīng)請求即向用戶發(fā)送電子郵件�����,因此��,用戶應(yīng)謹(jǐn)慎對待來自知名新聞機(jī)構(gòu)的不明郵件���。
攻擊者精心設(shè)計(jì)的誘餌總是利用人們對重大事件的好奇心,為保障數(shù)據(jù)安全���,用戶不但需要整合的安全解決方案來檢測并防御通過社交網(wǎng)絡(luò)和電子郵件傳送的誘餌�����,還需要警惕收到的不明郵件���。此外,若要了解最新新聞動(dòng)態(tài)是����,用戶應(yīng)盡量選擇直接訪問知名新聞機(jī)構(gòu),以確保安全。
重定向
如果用戶點(diǎn)擊了惡意電子郵件中的鏈接�����,他們就會被引至中間網(wǎng)站�,然后就會被重定向至托管漏洞利用代碼(如BlackHole漏洞利用工具包)的網(wǎng)站��。通常情況下���,重定向網(wǎng)站往往是被注入惡意代碼的合法網(wǎng)站���,攻擊者這樣做的目的就是利用被入侵網(wǎng)站的聲譽(yù)來進(jìn)行犯罪活動(dòng)。點(diǎn)擊鏈接時(shí)對這些網(wǎng)站進(jìn)行實(shí)時(shí)分析可以為用戶提供即時(shí)保護(hù)��,而且可以在受害者被重定向至漏洞網(wǎng)站之前有效破壞攻擊鏈����。
漏洞利用工具包
Websense安全專家還發(fā)現(xiàn),在此次攻擊活動(dòng)中����,攻擊者大量使用了BlackHole等常見的漏洞利用工具包,這就使得犯罪分子能夠迅速部署攻擊基礎(chǔ)設(shè)施�����,并且可以吸引更多的受害者。一旦用戶訪問了漏洞利用工具包托管網(wǎng)站�����,受害者的電腦很可能被攻擊者控制�����,來發(fā)送惡意代碼�����。在這種情況下���,該網(wǎng)站不僅會發(fā)送Zeus等用來竊取用戶財(cái)務(wù)信息的惡意軟件�����,還可以利用社會工程學(xué)方法來誘騙受害者安裝假的Adobe Flash Player更新��。Websense安全專家表示��,對網(wǎng)頁內(nèi)容和惡意代碼的實(shí)時(shí)分析則可以保護(hù)用戶免受已知和未知威脅的攻擊���。
木馬文件
一旦漏洞成功入侵受害者電腦�����,攻擊者就會利用木馬文件和下載器在受害者電腦上安裝惡意代碼���。到目前為止�����,Websense ThreatSeeker®智能云檢測到的兩類攻擊活動(dòng)中�,一種惡意攻擊活動(dòng)只是簡單地將惡意文件附加在最初的電子郵件誘餌中,另外一種惡意攻擊活動(dòng)則是利用受害者對誘餌的信賴����,將他們重定向至提供惡意文件的漏洞利用網(wǎng)站。為了躲避傳統(tǒng)解決方案的檢測���,攻擊者往往會對這些文件進(jìn)行加密處理�,因此����,企業(yè)需要部署更先進(jìn)的解決方案來識別惡意行為��,如Websense的ThreatScope™����。
自動(dòng)通報(bào)
一旦受害者的電腦安裝了惡意代碼��,它就會嘗試進(jìn)行自動(dòng)通報(bào)�,并且會連接C2基礎(chǔ)架構(gòu),接收來自攻擊者的命令���。相較于在攻擊的初期進(jìn)行攔截����,實(shí)時(shí)檢測非法出站內(nèi)容可以更有效地阻止惡意代碼的自動(dòng)通報(bào)���,從而達(dá)到阻斷攻擊的目的����。
數(shù)據(jù)竊取
攻擊者的最終目的是竊取個(gè)人可識別信息(PII)��、企業(yè)機(jī)密數(shù)據(jù)等��。他們試圖利用慢速“批次處理”來自被入侵網(wǎng)絡(luò)的數(shù)據(jù)或是創(chuàng)建自定義加密程序等方法來竊取數(shù)據(jù)���,然后將其用于進(jìn)一步的攻擊中或是單純獲得犯罪收益���。企業(yè)可以部署滴管式DLP����、OCR分析和自定義加密程序檢測等高級功能�,防止數(shù)據(jù)泄露和數(shù)據(jù)竊取,保護(hù)企業(yè)數(shù)據(jù)安全�。
Websense安全專家指出�,此類攻擊往往都是伴隨著熱門時(shí)事或全球性的新聞的爆發(fā)而發(fā)起的。Websense高級分類引擎(ACE)可以幫助用戶在攻擊的各個(gè)階段防范此類新興的網(wǎng)絡(luò)威脅�,確保數(shù)據(jù)安全無虞。Websense安全專家進(jìn)一步表示�,雖然有關(guān)王室嬰兒的官方公告尚未發(fā)布,但是Websense安全實(shí)驗(yàn)室仍將繼續(xù)監(jiān)控此次攻擊活動(dòng)����,全面保護(hù)用戶信息安全。
