Websense ThreatSeeker®智能云還檢測(cè)到另外一種形式的惡意攻擊活動(dòng),在這些攻擊活動(dòng)中��,攻擊者將惡意附件作為誘餌��,同時(shí)設(shè)計(jì)了極具吸引力的郵件主題來(lái)引起收件人的興趣�,誘使他們打開(kāi)郵件。Websense安全專家發(fā)現(xiàn)����,Websense ThreatSeeker®智能云攔截到的郵件均以“皇室寶寶”為主題���,除此之外,郵件正文中還包含了圖片形式的惡意附件��,而該文件本身是一個(gè)惡意二進(jìn)制文件�����,用來(lái)連接命令和控制(C2)基礎(chǔ)架構(gòu)����,并下載進(jìn)一步的惡意代碼。如下圖所示:
Websense安全專家提醒用戶��,如果收到任何與熱門(mén)事件相關(guān)的電子郵件提示或是不明信息��,在點(diǎn)擊鏈接或下載附件之前一定要確定該信息的合法性�����。此外��,知名的新聞機(jī)構(gòu)一般不會(huì)未經(jīng)請(qǐng)求即向用戶發(fā)送電子郵件�,因此,用戶應(yīng)謹(jǐn)慎對(duì)待來(lái)自知名新聞機(jī)構(gòu)的不明郵件����。
攻擊者精心設(shè)計(jì)的誘餌總是利用人們對(duì)重大事件的好奇心,為保障數(shù)據(jù)安全�,用戶不但需要整合的安全解決方案來(lái)檢測(cè)并防御通過(guò)社交網(wǎng)絡(luò)和電子郵件傳送的誘餌,還需要警惕收到的不明郵件����。此外,若要了解最新新聞動(dòng)態(tài)是���,用戶應(yīng)盡量選擇直接訪問(wèn)知名新聞機(jī)構(gòu)��,以確保安全���。
重定向
如果用戶點(diǎn)擊了惡意電子郵件中的鏈接,他們就會(huì)被引至中間網(wǎng)站�,然后就會(huì)被重定向至托管漏洞利用代碼(如BlackHole漏洞利用工具包)的網(wǎng)站。通常情況下�,重定向網(wǎng)站往往是被注入惡意代碼的合法網(wǎng)站,攻擊者這樣做的目的就是利用被入侵網(wǎng)站的聲譽(yù)來(lái)進(jìn)行犯罪活動(dòng)����。點(diǎn)擊鏈接時(shí)對(duì)這些網(wǎng)站進(jìn)行實(shí)時(shí)分析可以為用戶提供即時(shí)保護(hù)�,而且可以在受害者被重定向至漏洞網(wǎng)站之前有效破壞攻擊鏈��。
漏洞利用工具包
Websense安全專家還發(fā)現(xiàn)��,在此次攻擊活動(dòng)中��,攻擊者大量使用了BlackHole等常見(jiàn)的漏洞利用工具包�����,這就使得犯罪分子能夠迅速部署攻擊基礎(chǔ)設(shè)施��,并且可以吸引更多的受害者�。一旦用戶訪問(wèn)了漏洞利用工具包托管網(wǎng)站,受害者的電腦很可能被攻擊者控制��,來(lái)發(fā)送惡意代碼����。在這種情況下,該網(wǎng)站不僅會(huì)發(fā)送Zeus等用來(lái)竊取用戶財(cái)務(wù)信息的惡意軟件�,還可以利用社會(huì)工程學(xué)方法來(lái)誘騙受害者安裝假的Adobe Flash Player更新�。Websense安全專家表示,對(duì)網(wǎng)頁(yè)內(nèi)容和惡意代碼的實(shí)時(shí)分析則可以保護(hù)用戶免受已知和未知威脅的攻擊���。
木馬文件
一旦漏洞成功入侵受害者電腦����,攻擊者就會(huì)利用木馬文件和下載器在受害者電腦上安裝惡意代碼。到目前為止���,Websense ThreatSeeker®智能云檢測(cè)到的兩類攻擊活動(dòng)中����,一種惡意攻擊活動(dòng)只是簡(jiǎn)單地將惡意文件附加在最初的電子郵件誘餌中�,另外一種惡意攻擊活動(dòng)則是利用受害者對(duì)誘餌的信賴,將他們重定向至提供惡意文件的漏洞利用網(wǎng)站�����。為了躲避傳統(tǒng)解決方案的檢測(cè)����,攻擊者往往會(huì)對(duì)這些文件進(jìn)行加密處理,因此�,企業(yè)需要部署更先進(jìn)的解決方案來(lái)識(shí)別惡意行為,如Websense的ThreatScope™����。
自動(dòng)通報(bào)
一旦受害者的電腦安裝了惡意代碼�,它就會(huì)嘗試進(jìn)行自動(dòng)通報(bào)���,并且會(huì)連接C2基礎(chǔ)架構(gòu)��,接收來(lái)自攻擊者的命令�。相較于在攻擊的初期進(jìn)行攔截���,實(shí)時(shí)檢測(cè)非法出站內(nèi)容可以更有效地阻止惡意代碼的自動(dòng)通報(bào)�,從而達(dá)到阻斷攻擊的目的��。
數(shù)據(jù)竊取
攻擊者的最終目的是竊取個(gè)人可識(shí)別信息(PII)�����、企業(yè)機(jī)密數(shù)據(jù)等��。他們?cè)噲D利用慢速“批次處理”來(lái)自被入侵網(wǎng)絡(luò)的數(shù)據(jù)或是創(chuàng)建自定義加密程序等方法來(lái)竊取數(shù)據(jù)���,然后將其用于進(jìn)一步的攻擊中或是單純獲得犯罪收益����。企業(yè)可以部署滴管式DLP�����、OCR分析和自定義加密程序檢測(cè)等高級(jí)功能�����,防止數(shù)據(jù)泄露和數(shù)據(jù)竊取��,保護(hù)企業(yè)數(shù)據(jù)安全����。
Websense安全專家指出,此類攻擊往往都是伴隨著熱門(mén)時(shí)事或全球性的新聞的爆發(fā)而發(fā)起的����。Websense高級(jí)分類引擎(ACE)可以幫助用戶在攻擊的各個(gè)階段防范此類新興的網(wǎng)絡(luò)威脅,確保數(shù)據(jù)安全無(wú)虞��。Websense安全專家進(jìn)一步表示���,雖然有關(guān)王室嬰兒的官方公告尚未發(fā)布����,但是Websense安全實(shí)驗(yàn)室仍將繼續(xù)監(jiān)控此次攻擊活動(dòng)�,全面保護(hù)用戶信息安全���。
