惡意軟體針對物聯網設備的攻擊不斷升級—這裡有來自AT&T Alien Labs安全研究員的見解 http://ow.ly/maj250uVWB3

 

一種新的惡意軟體正在摧毀物聯網設備的韌體，這些攻擊讓人想起2017年銷毀數百萬台設備的舊BrickerBot惡意軟體。在 6月26日 過去的24小時內，數以千計的物聯網設備遭到了新的惡意軟體的加強攻擊 。這個名為Silex的惡意軟體正在加強清除IoT設備的韌體，在它存在的最初幾個小時內報告的事件超過2,000個。據認為Silex通過終止存儲來破壞設備，這使它可以忽略防火牆規則和網路設定，最後，設備完全停止運作。根據對惡意軟體開發者的採訪，這攻擊仍在繼續，他們將在未來幾天內加劇攻擊。

 

專家評論：  

 

ESET網路安全專家Jake Moore ： 

“這再一次強調了某人可以通過簡單的默認憑據輕鬆控制設備。看到一個14 歲的人,取下這些裝置，顯示出這些年輕人的能力，以及有多少人正在利用他的技能進行破壞而不是善用。Jake Moore還強調，這些網路攻擊不是為了經濟利益或毀滅，而僅僅是為了“ lolz ”(好玩)。

 

重新安裝設備韌體很棘手，但並非不可能。然而防止這種攻擊比修復它來得更好，更容易。檢查你家周圍的所有物聯網，以確保他們都使用隨機和較長而複雜的2FA密碼 “。 

 

AT&T Alien Labs安全研究員Chris Doman ：

“Silex的運作以破壞IoT設備的一些Shell Script 與BrickerBot的使用相同 – 看起來是惡意軟體的開發者復制了一些原始碼。

 

雖然世界可以接受連接到互聯網的不安全IoT設備，但這不是解決問題的方法。

 

有趣的是，日本政府提出做類似的做法“  

 

Tenable情資副總裁Gavin Millard  ： 

由於Silex惡意軟體的威脅以具有默認憑據的物聯網設備為目標，這清楚地提醒我們，在涉及網路安全時，我們所有人都需要更加精明。開箱即用新設備時應該做的第一件事就是更改密碼，但實際上會這樣做的人實在太少了，這就是為什麼蠕蟲迄今仍然被證實有效的原因。也許有一天，製造商會採用更安全的方式, 在設置時請求密碼而不是設置默認密碼，但顯然世界還沒有為這種創新做好準備。

 

“雖然惡意軟體採用的當前方法是針對默認憑證，但這樣仍然是危險的，因為惡意軟體可以對其進行修改以查找和濫用其他配置錯誤或已知漏洞，從而使其網路更廣泛。”

 

NCipher Security戰略與業務開發高級總監John Grimm ：

“隨著時間的推移，物聯網已經成為幾乎每一項數位計劃和互動的關鍵。消費者和企業正在發現並從每天提供的機會中受益。     

 

然而，物聯網設備也成為攻擊者最容易受到攻擊的入口之一。物聯網使消費者和企業面臨新的安全漏洞，這是因為它增加了網路連接，並且其中的設備不受設計保護。它是如此龐大和複雜，以至於找到可以跨越整個網路的數據保護解決方案，提供可擴展的加密密鑰管理而不是阻礙數據分析可能是一個嚴峻的挑戰。    

 

通過鼓勵“安全設計”，向設備製造商交付更大的責任並引入新的標籤系統來表明基本安全功能的存在，英國政府在最近的物聯網安全諮詢顯示著正朝著正確方向邁出了積極的一步，以最大限度地減少未來此類攻擊的影響。但是，一些建議取決於可變因素 – 例如，用戶可能選擇較弱的密碼或者甚至懶得更換默認密碼，或者製造商可能會停止運作並停止向其設備提供安全更新。  

 

此外，業界仍然必須採取進一步措施，以確保設備收集的信息可以加密，並且使用數位簽名確保軟體更新的真實性並幫助防止惡意軟體的引入，並給予特定產品中使用的軟體和硬體周圍更大的透明度，可充分評估已發現的漏洞（不可避免的）的影響  。“

 

Saryu Nayyar，CEO在Gurucul ：

Gartner估計到2020年互聯網上將有超過20.6億台設備，BYOD和互聯網連接設備的爆炸式增長顯然使安全性和管理變得複雜，使用傳統工具和流程將無法滿足這些不斷增長的需求。利用大數據，結合行為分析和自動化機器學習，是大規模監控這些設備的唯一方法。

 

4月份觀察到的多個惡意攻擊活動將ISO圖像文件中的LokiBot和Nanocore惡意軟體隱藏得很小, 小到可以放在電子郵件附件中。

 

LokiBot和Nanocore都具有數據竊取功能。它們針對Web瀏覽器，電子郵件客戶端，遠端管理工具（SSH，VNC和RDP）以及剪貼板數據。他們還可以收集有關系統中存在的文檔的信息，並監視用戶擊鍵以提取更敏感的詳細信息。

 

安全研究人員發現了此類活動的10種變體，其中ISO圖像和信息的變化傳遞給潛在的受害者。這些活動似乎遵循“spray and pray”原則，因為它們沒有針對特定的個人或企業。

 

ISO文件不那麼可疑

從攻擊者的角度來看，ISO方法很有意義，因為大多數現代操作系統可以在用戶訪問圖像時自動掛載圖像並顯示其內容。

 

此外，出於性能原因，一些安全解決方案傾向於將ISO文件列入白名單，從而使它們不易被檢測。

 

Netskope的研究人員注意到，ISO文件的大小從1MB到2MB不等，這類存檔的重量很小，通常大於100MB。

 

他們在今天發表的一份報告中寫道：“該圖像只包含一個嵌入其中的可執行文件，這是真正惡意軟體的payload。”

 

付款單據技巧

提供LokiBot或Nanocore RAT的通用垃圾郵件使用電匯支付詭計來誘使用戶在附件中打開涉嫌財務文件。

 

“對延遲表示道歉，但請附上一份逾期發票的電匯付款副本，”郵件寫道。

 

如下面的示例所示，攻擊者努力添加看似來自真實公司的簽名，包括發件人的地址，網站和聯繫詳細信息。

 

 

以這種方式提供的LokiBot版本與之前看到的惡意軟體變種類似。然而，威脅伴隨著一些防逆轉技術來阻止其分析。

 

Netskope分析了一個使用“IsDebuggerPresent（）”函數確定它是否在Debugger中加載的應變。

 

它的開發人員還實現了旨在識別惡意軟體是否在虛擬機中運行的技術：“測量CloseHandle（）和GetProcessHeap（）之間的計算時差。”

 

Netskope發現的廣告系列中使用的Nanocore變體並不是新的  ，早在2017年就被用於惡意活動。

 

這兩種威脅經常出現在尼日利亞攻擊者的商業電子郵件洩密（BEC）騙局中，Palo Alto Networks的研究人員將其稱為SilverTerrier。

 

他們的受歡迎程度在過去兩年中逐漸增加，其中LokiBot是去年SilverTerrier使用的頂級竊取信息的惡意軟體，而Nanocore則是首選的遠端管理工具（RAT）的十大名單。

 

Source: http://spr.ly/6017ESU1t

自2019年初以來，Barracuda研究人員發現組化惡意軟體的使用量激增。最近Barracuda研究人員針對客戶的電子郵件攻擊分析顯示，今年前五個月有超過150,000個獨特的惡意文件。下面將詳細介紹模組化惡意軟體以及幫助檢測和阻止攻擊的方法。

 

網路犯罪分子使用電子郵件遞送模組化惡意軟體，模組化惡意軟體有不斷增長的趨勢，它提供的架構比典型的基本文檔或網路應用的惡意軟體更強大，更具規則性和危險性。模組化惡意軟體包括 – 並且可以根據目標和攻擊目標有選擇地啟動不同的有效承載量和功能。大多數惡意軟體都作為文檔附件分發，通過垃圾郵件發送到廣泛傳播的電子郵件列表。這些電子郵件列表在黑暗網路中進行銷售，交易，匯總和修訂。打開受感染的文檔後，將自動安裝惡意軟體，或者使用嚴重模糊的宏/腳本從外部源下載並安裝它，偶爾會使用鏈接或其他可點擊的項目。

 

隨著殭屍網路的出現，由網路犯罪分子廣泛分發執行,編寫的惡意軟體提供的命令，已成為新的模組化常態。惡意軟體作者越來越有組織，採用和實施質量保證和測試，以提高攻擊的成功率。為了滿足一個廣泛分佈的惡意軟體文件滿足多種需求的需求，模組化惡意軟體功能已經發展得更為豐富，更靈活。

 

檢測和阻止模組化惡意軟體：

快速發展的威脅環境需要一種多層保護策略 – 一種能夠彌補技術和人為差距的策略 – 為每個組織提供最大化電子郵件安全性能，並最大量的降低因模組化惡意軟體等複雜攻擊而受害的風險。

 

網關防禦

應部署高級入站和出站安全技術，包括惡意軟體檢測，垃圾郵件過濾器，防火牆和沙盒。對於附有惡意文檔的電子郵件，靜態和動態分析都可以獲取文檔試圖下載並運行可執行文件的指標，這些文檔不應該執行任何文檔，可使用啟發式或威脅情報系統標記可執行文件的URL。通過靜態分析檢測到的混淆還可以辨認文檔是否可疑。雖然許多惡意電子郵件看起來令人信服，但垃圾郵件過濾器和相關安全軟體可以獲取微妙的線索，並幫助阻止可能受到威脅的郵件和附件到達電子郵件收件箱。如果用戶打開惡意附件或單擊指向偷渡式下載的鏈接，能夠進行惡意軟體分析的高級網路防火牆可以通過在嘗試通過時標記可執行文件來阻止攻擊的機會。此外，加密和DPL有助於防止意外和惡意數據丟失。此外，電子郵件歸檔對於合規性和業務連續性至關重要。

 

復原力

備份有助於從數據刪除中恢復，並且連續性可確保在潛在的中斷期間發送關鍵電子郵件。

 

詐欺保護

人工智能用於魚叉式網路釣魚防護，停止可以繞過電子郵件網關的攻擊，DMARC驗證可以檢測並防止電子郵件和域名欺騙。

 

人體防火牆

每個企業的最高層電子郵件防禦是最關鍵的。使用網路釣魚模擬和培訓成為安全意識培訓的一部分。確保最終用戶了解新類型的攻擊，向他們展示如何識別潛在威脅，並通過測試即時培訓的有效性並評估最易受攻擊的用戶，將其從安全責任轉變為防線。

 

 

Source: http://ow.ly/SlQV50uCdfG 

Mimecast發佈了第三份年度電子郵件安全報告，並發現網路釣魚攻擊已經失去了公司的資金，數據和客戶。該報告包括1,025位全球IT決策者的見解，發現社交工程攻擊正在上升。

 

根據該研究，網路釣魚攻擊是最突出的網路攻擊類型，94％的受訪者在過去12個月中遭遇過網路釣魚和魚叉式網路釣魚攻擊。超過一半（55％）的人認為在同一時期有所增加。 

 

最值得注意的是，該報告發現偽裝攻擊增加了超過三分之二（67％），73％受偽裝攻擊影響的組織遭受了直接損失。具體而言，28％的企業失去了客戶，29％的企業遭遇財務損失，40％的企業數據丟失。

 

這種激增意味著組織內部的人們對他們的安全失去信心。根據該報告，61％的人認為他們的公司可能或不可避免地會受到今年電子郵件攻擊帶來的負面業務影響。

 

“電子郵件安全系統是大多數攻擊的前線防禦。然而，僅僅擁有並提供有關這些攻擊的數據並不能為大多數受訪者創造價值，“Mimecast威脅情報副總裁Josh Douglas說。“調查結果表明，供應商需要能夠從他們收集的大量數據中提供可操作的情資，而不僅僅是關注只能解決過去問題的入侵指標。”

 

根據該公司對調查結果的公告，受偽裝攻擊影響的前五大行業是金融，製造，專業服務，科學/技術和運輸。

 

其他有趣的統計包括：

 

勒索軟體攻擊比去年增加了26％。

近50％的受訪者表示停工時間為兩到三天。

只有不到三分之一的經歷了四到五天的停機時間。

 

https://www.infosecurity-magazine.com/news/impersonation-phishing-attacks-up/

無論是企業，員工還是網路犯罪分子，在後參數世界中都有新的方式來擺脫企業防禦，這種情況正在流行。

 

網路犯罪分子現在採用移動優先的方法來攻擊企業。例如，上個月有5億Apple iOS用戶被Chrome for iOS中的未修補錯誤的而受到攻擊。犯罪分子劫持了用戶的會話，並重定向流量到惡意網站讓用戶陷入惡意軟體。

 

像這樣的攻擊證明了行動網路犯罪活動的廣泛性和有效性。這也是網路犯罪分子如何越來越成功地瞄準行動用戶的一個例子。對於那些擁有越來越多行動員工的企業而言，不斷升級的行動攻擊媒介擴大了威脅形勢，並迫使企業重新考慮其安全要求。

 

快速流動性持續增長

越來越多企業支持行動工作者，根據牛津經濟學2018年的一項調查，80％的受訪者表示，如果沒有行動設備，公司員工就無法有效地完成工作。同樣的調查顯示，82％的人認為行動設備對員工的工作效率至關重要。

 

根據Lookout產品管理高級主管David Richardson的說法，當行動到雲端應用程式和計算（從公司的物理邊界移除數據）時，大規模採用行動性已經在網路安全戰中開闢了新的前沿。

 

“你的用戶已經已使用行動了…所以這些行動設備可以連接到任何網路，他們可以從任何地方訪問雲端中的數據，”Richardson說。“從本質上講，您的企業網路現在是星巴克Wi-Fi，世界上任何地方的任何酒店Wi-Fi或家庭Wi-Fi。”

 

Lookout在今年RSA參會者的調查中，76％的受訪者表示他們使用從公共Wi-Fi網路（如咖啡店，機場或酒店）訪問了公司網路，企業電子郵件或企業雲端服務。

 

企業最高管理層特別關注遠端工作人員的風險。在OpenVPN 最近的一項調查中，將近四分之三（73％）的副總裁和首席級別的IT領導者表示，遠端工作人員的風險大於現場員工，這讓很多企業感到擔憂。

 

多個特定於行動設備的威脅

企業最高管理層擔憂並非毫無根據。潛在的行動攻擊場景非常龐大且越來越普遍。

 

例如，中間人（MiTM）攻擊可以安裝在連接到公共Wi-Fi網路的設備上，以攔截流入和流出各種雲服務的數據。最近的一個例子就曝光了, 4月份研究人員在中國和印度最大的手機製造商小米（Xiaomi）生產的智能手機內置安全應用程式中發現了多個MiTM漏洞。

 

“由於進出Guard Provider的網路流量不安全，以及在同一個應用程式中使用多個SDK，威脅行為者可以連接到與受害者相同的Wi-Fi網路並執行MiTM攻擊，” Check Point說，在當時增加了超過1.5億用戶受到影響。

 

用戶還可以通過在下載惡意應用程式時無意的感染他們的設備（正如Google Play最近感染了3000萬Android用戶的大量廣告軟體的侵襲應用程式所證明的那樣）。然後是比較舊的應用程式，過時的操作系統和易受攻擊的SDK引入的軟體漏洞，這些漏洞並沒有獲得每月的更新。

 

如果不進行更新，用戶就會面臨攻擊者建立的漏洞風險。

 

這些漏洞利用通常是針對丟棄惡意軟體在目標設備上的，比如去年夏天Bitdefender 發現了一款名為Triout 的Android惡意軟體，它是具有高級監控功能的企業間諜活動而打造的。

 

寫得不好的應用程式中的錯誤也會暴露用戶，使得修補應用程式也很重要。例如，一位白帽駭客最近對 30個行動金融應用程式進行了逆向工程，並發現隱藏在幾乎所有被檢查應用程式的底層代碼中的敏感數據。研究人員表示，有了這些信息，駭客就可以恢復應用程式編程接口（API）密鑰並使用它們來攻擊供應商的後端服務器並構成用戶數據。

 

受惡意軟體影響的行動員工隊伍

 

隨著越來越多的行動設備在企業勞動力中佔據一席之地，它們代表著對手瞄準新的肥沃舞台。不幸的是，許多用戶並不知道這些設備有多麼脆弱，或者如果它們受到損害可能會受到威脅。

 

例如，行動用戶傾向於在他們的設備上混合商業和娛樂，這放大了攻擊面。Lookout在今年RSA參會者的調查中，76％的人通過個人擁有的行動設備或平板電腦訪問了企業網路，企業電子郵件或企業雲服務。

 

這可能會產生意想不到的後果。Gartner高級主管分析師Patrick Hevesi表示，當受害設備連接到公司雲應用程式或公司局域網時，受感染的設備可能會將感染帶回企業網路。

 

“讓我們的設備被惡意軟體感染，然後進入你的組織，”Hevesi說。“你可以加入VPN，進入公司的Wi-Fi。您可以通過USB將該設備插入PC或Mac。駭客正試圖傾聽那些不同的方面[和關係]，也可能會進入你的組織。“

 

Hevesi指出，對這種風險的認識仍然很低 – 即使是高級管理人員也可以通過行動設備的安全性快速而鬆散地工作，而不是將工作與個人使用分開。

 

“我最近與一個公民社會組織進行了交談，他的首席信息官將他的公司擁有的iPad設備帶回家，並在該設備上註冊了他的整個家庭的指紋，”他說。“在這種特殊情況下，iPad成了家庭用品，但它有公司數據。”

 

還存在密碼問題，這種問題一直存在並從桌面遷移到行動世界。根據2018年的LastPass分析，幾乎一半的專業人士在工作和個人賬戶中使用相同的密碼 – 分析發現, 員工在工作期間與同事分享大約6個密碼，。

 

基於社交的行動攻擊

根據Richardson的說法，更糟糕的是，從社交工程的角度來看，攻擊者越來越擅長以行動用戶為目標，正如行動特定網路釣魚的增加所顯示的那樣。例如，Lookout的遙測技術於4月份發現了專門針對美國Verizon Wireless客戶的網路釣魚工具包。分析顯示該工具包通過電子郵件將釣魚鏈接推送給用戶，偽裝成來自Verizon客戶支持的消息。這些都是針對行動觀看量身定制 根據Lookout，在個人電腦桌機上打開惡意URL時，它看起來很草率，顯然不合法 – 但是，當在行動設備上打開時，該頁面看起來像一個完全合法的Verizon客戶支持應用程式。

 

此行動定位方法的變體有時會將用戶發送到兩個不同的位置，具體取決於所使用的設備。在一個廣告系列中，Lookout分析師發現“如果您點擊行動設備上的[網上誘騙]鏈接，您將獲得網上誘騙網頁。如果你點擊非行動設備上的那個鏈接，你實際上會得到它試圖指向你的真實網站，“理查森解釋說。

 

根據Hevesi的說法，用戶教育應該是企業的關鍵保障 – 員工應該接受培訓，從風險的角度充分了解他們的行動設備代表什麼。例如，這應該包括睜開眼睛看行動設備始終連接到互聯網，並且它有麥克風，攝像頭，公司數據，位置，存儲的密碼等 – 這是網路攻擊者的一筆財富。

 

“行動設備是您的主要設備，”Hevesi說。“我們真的需要開始將其視為一個成熟的終端……開始考慮是否存在損害，如果您的手機受到損害，下一步是什麼？什麼是駭客可能會做什麼，考慮你可能正在訪問哪些雲端應用程式？“

 

噗，去周邊

在解決這些危險時，壞消息是，許多內置於企業網路中的安全控制都是為傳統上由個人電腦桌機主導的環境建的。它們不適用於以行動為中心的員工隊伍。

 

Richardson指出，像防火牆這樣的傳統安全方法依賴於信任端點或一組憑據，因為它的位置 – 但這並不能保護行動世界中的公司資源，因為物理邊界消失了。

 

“僅僅因為設備擁有正確的用戶名和密碼並不意味著這是一個符合公司政策的設備，應該被允許訪問這些數據，”他說。“你需要基本上假設默認情況下所有設備都不受信任，直到你確認該設備是值得信任的。”

 

信任問題

零信任方法旨在通過假設所有設備都不可靠並且在確認該設備符合公司策略之前不允許訪問公司數據來實現這一目標。例如，企業可以確保遠端用戶在登錄之前使用企業託管設備和多因素身份驗證。

 

“這可以通過一個稱為連續條件訪問的系統來完成，” Richardson說。“[這是基於信息]有關此端點的當前健康狀況，此標識與訪問此數據相關聯，以及數據本身來自雲端服務提供商的角度。他們需要能夠確定具有此身份的端點是否能夠訪問該端資源。“

 

Hevesi說，這也可以與基於設備試圖訪問的風險管理方法相吻合。他解釋說，例如，如果一名員工正在查看自助餐廳的菜單，那麼他們用來做這件事的設備, 可能不會像企業資源規劃管理員登錄到的那樣受到同樣的審查應用。

 

另一個最佳實踐是在允許設備訪問公司資源時將個人和公司“身份”分開。

 

“設備認證應該與[進入]公司容器不同，”Hevesi指出。“您應該擁有單獨的身份驗證方法，因此您可以確保至少該設備不僅可以解鎖[並自動提供]無縫訪問您的公司信息。”

 

原始設備製造商解決行動工作和遊戲的分離問題

Google的Android Enterprise計劃和Apple Business Manager都提供了一些功能來保護和管理個人設備上的公司數據。管理員可以在Android設備上為業務託管的應用和數據創建單獨的工作區，並且通過兼容的行動設備管理（MDM）服務器，IT可以通過強制執行強大的安全策略來控制在該容器內管理數據的方式。組織還可以將私有應用程式發佈到授權設備，並可以對託管的Google應用程式進行集中審批和配置。

 

對於Apple，可以將設備和特定應用程式註冊為“公司” – 然後執行某些策略，例如不將來自已註冊應用程式的數據存儲在某人的個人iCloud上。

 

在產品方面，Gartner的研究表明，端點保護平台已經

整合移動威脅防禦（MTD）供應商和MDM，為管理員提供從整體架構為主導的資安管理方式, 不受限於特定設備，無論是筆記本電腦，Chromebook還是iPad，Surface，iOS設備和Android設備等。Hevesi說，這提供了一種一致的方式來應用補丁和反惡意軟件，鎖定丟失或被盜的設備，管理用戶配置文件和訪問權限，對用戶和應用程序行為應用動態分析等等。

 

Hevesi指出，這種方法的一個好處是，對於用戶來說，它是無縫的，並且幾乎不需要改變行為。

 

“[這允許你]實際創建一個政策，說”哦，我看到一個惡意應用程式“，或者”有人試圖在公共熱點對我們的設備進行中間人攻擊“，並且系統將繼續強制VPN連接或要求卸載該應用程式，因為你有[自動管理控制]，“他解釋道。

 

談到企業行動性，顯然在新威脅和風險管理方面需要考慮很多。但Richardson認為，這一切都始於認識到行動性代表了一系列不同的考慮因素，而不是企業可能習慣於在桌面世界中處理這些因素。

 

“這是一套值得思考的新事物，其中包括底線，”他說。“這就是你必須開始的地方 – 通過認識到這一點。”

Source: https://threatpost.com/mobile-risks-post-perimeter-world/144815/

最近的統計數據顯示，60％的企業因網路一連串的網路攻擊而被迫暫停營運或無法重新營運, 這主要是由於停工造成的收入損失以及公司聲譽受損。好消息是，大多數這些威脅可以通過可靠的網路安全得到緩解。在網路攻擊方面，時間至關重要。企業應安裝能夠檢測潛在威脅的系統，以便及時做出回應。推薦的解決方案之一是AT&T Cyber​​security(前AlienVault)的服務和產品組合，提供edge to edge的保護，使企業能夠領先於威脅。

 

預防數據外洩

當網路罪犯成功攻擊持有敏感信息的系統時，就會發生數據外洩事件。對於企業而言，這可能包括關鍵信息，如員工和客戶記錄。在組織邊界洩露此類數據可能導致代價高昂的罰款和巨額貨幣損失。通過對Equifax 進行罰款後，可以看出這一點，因為它遭遇了數據外洩，暴露了1.46億人的數據。但是，企業可以使用標準安全軟體（如防病毒和入侵檢測系統）來監控敏感文件和數據傳輸，以防止數據外洩。

 

防止網路釣魚

網路釣魚涉及網路犯罪分子利用數位信息竊取信用卡信息，用戶登錄信息和其他類型的敏感數據。網路釣魚攻擊的案例一直在增加，網路上的任何業務都可以成為攻擊目標。隨著越來越多的企業意識到可疑電子郵件和鏈結帶來的風險，駭客通過使用機器學習來發惡意郵件從而提高了賭注,來針對比較脆弱體系的企業。

 

敏感數據也可能受到合作夥伴和承包商等第三方的影響。企業應採用有效的策略尋找合作夥伴和承包商，以降低他們所帶來的安全風險。員工培訓，安全系統安裝和所有軟體更新是大幅減少網路釣魚攻擊的重要方法。

 

勒索軟體預防和檢測

對於世界各地的許多企業來說，勒索軟體可能是一場噩夢。該平均勒索攻擊的成本公司高達美元$ 133,000。網路犯罪分子利用惡意軟體加密受害者的數據，然後要求贖金來解密數據，支付這些贖金並不總能得到保證，因為犯罪分子不可信，所以企業應該採取措施避免這種情況。其中一項措施是使用更新的安全軟體，制定良好的備份和恢復計劃，並培訓員工如何避免可能攜帶勒索軟體的電子郵件。

 

雖然網路安全的重要性不能過分強調，但網路犯罪分子正在採用複雜的方法來攻擊企業。因此，不要等到為時已晚，立即保護您的企業網路!

Source: https://www.alienvault.com/blogs/security-essentials/critical-cyber-security-features-that-your-business-needs-to-survive?utm_medium=Social&utm_source=Twitter&utm_content=blog

研究人員追踪了2019年使用惡意附件的五個大垃圾郵件活動,

從傳播Gandcrab的ZIP附件到分發Trickbot的DOC文件.

F-Secure的研究人員追踪到目前為止, 在2019年最常使用與垃圾郵件相關的頂級惡意附件和廣告。在大型垃圾郵件活動中比任何其他類型的附件常用的是

ZIP，PDF和MS辦公文件（如DOC和XLSM文件附件）

 

此外，研究人員注意到，光碟映像文件（存儲整個磁碟的內容和結構的ISO或IMG文件，如DVD或藍光）越來越多地用於傳播惡意軟體。研究人員稱，在越來越多的小型廣告系列中發現了AgentTesla惡意軟體和NanoCore遠端木馬程式。

F-Secure的研究人員說：“在2月和3月，我們看到了大量垃圾郵件活動，使用ZIP文件發送GandCrab勒索軟體，用DOC和XLSM文件分發Trickbot “在同一時期，我們看到了針對美國運通客戶的同樣大型廣告系列，以及使用PDF文件附件的‘Winner騙局’。

 

ZIP文件傳播GandCrab

研究人員表示，在2月和3月，有大量的垃圾郵件活動散播著GandCrab勒索軟體。這些廣告系列使用的是ZIP文件，旨在向某人發送照片。

 

但是，實際上ZIP文件包含一個模糊的JavaScript下載程式，它執行下載並執行GandCrab勒索軟體執行製文件的PowerShell 的script。如果有效成功下載並執行，它則會加密受害者的機器並顯示勒索軟體。

 

DOC / XLSM文件提供Trickbot

研究人員還注意到，3月份以稅收為主題的垃圾郵件活動大幅增加，這些活動利用DOC和XLSM文件來提供Trickbot模組化的銀行木馬。這封電子郵件宣稱該活動的目的是提供稅收賬單記錄，其中包含Office doc附件，其中包含使用bitsadmin工具下載和執行有效的惡意巨集。BitsAdmin是一個合法的命令執行工具，可用於下載或上載作業並監視進度。

 

研究人員表示，一旦下載並執行，Trickbot樣本就開始執行，並在受害者的機器上創建模組，竊取“盡可能多的數據” – 包括銀行憑證等。

 

TrickBot金融惡意軟體最初是在2016年發現的,最近幾個廣告系列展示了其發展背後的快節奏演變。研究人員已經注意到惡意軟體的新代碼注入技術，更新的信息竊取模組和自定義的方法。

 

美國運通網路釣魚中使用的PDF文件

3月份另一個受歡迎的垃圾郵件活動, 利用PDF文件對準美國運通客戶的網路釣魚攻擊。

 

 

 

研究人員說：“利用PDF文件中,最高峰是3月份針對美國運通的網絡釣魚活動。”

 

該電子郵件聲稱來自美國運通，稱受害者的帳戶已被標記，並且標有“正在審核中”的PDF文件。當該PDF文件打開時，它會顯示一個鏈接，引導用戶並假裝“安全消息”來自美國運通客戶安全團隊。實際上，該鏈接會將受害者帶到一個帶有縮短URL的惡意登陸頁面 – 進一步騙欺受害者 – 並詢問他們的銀行憑據。

 

用於“Winner騙局”的PDF文件

研究人員還發現了一個“贏家”騙局，他們說這是使用通過電子郵件傳播的PDF文件附件的第二高的廣告系列。

 

 

聲稱由Google發送的附件,告訴受害者他們贏得了由Google基金會和軟件產品促進基金會組織的140萬美元的電子郵件在線抽獎活動。

 

該表格隨後要求提供個人詳細信息，並且可以通過受害者電子郵件將其付款驗證信息發送給Google首席執行官Sunday Pichai，電子郵件地址為“sundarpicha@gmail.com”。

 

“這個騙局要求受害者提供個人詳細信息，如全名，地址，國家/國籍，電話/手機號碼，職業，年齡/性別和私人電子郵件地址，”研究人員說。

 

電子郵件末尾的消息告訴受害者：“出於安全原因，建議您將此通知保密，作為我們預防措施的一部分，以避免雙重索賠和無理濫用此程式。”

 

ISO和IMG傳送AgentTesla

有趣的是，研究人員表示他們已經注意到自2018年7月以來使用光碟映像文件（ISO和IMG文件）傳播惡意軟體的攻擊者數量激增, ISO映像文件是CD數據和佈局的快照; 而各種光碟應用程式創建的IMG是光碟映像文件。

 

最值得注意的是，研究人員已經看到越來越多的活動 – 儘管規模較小 – 使用這種技術來傳送AgentTesla信息竊取惡意軟體和NanoCore RAT。

 

“有趣的是，我們還看到最近的垃圾郵件活動提供了兩種類型的附件：惡意Office Doc和ISO映像文件 – 都安裝了AgentTesla信息輸出器，”他們說。

 

在這些活動中，一個有意義的文檔會執行一個巨集來下載和執行; 而ISO文件中包含惡意執行文件。

 

“無論受害者選擇打開兩種附件類型中的哪一種，都要安裝AgentTesla – 一種能夠從常用的已安裝軟體（如瀏覽器，電子郵件客戶端和ftp客戶端）收集受害者系統信息和憑據的信息輸出器”研究人員。

 

垃圾郵件活動不斷發展

垃圾郵件活動繼續採用新的策略，使其更難以發現 – 並且使用新類型的附件（例如上述ISO映像文件）只會使攻擊者更容易欺騙受害者。

 

事實上，根據最近的研究，垃圾郵件是網路犯罪分子在2018年整體傳播惡意軟

體的最常用方法，佔全年每10次感染企業中的9次。

 

大約69％的垃圾郵件活動試圖欺騙用戶訪問惡意URL以下載惡意軟體文件或提交另一個導致感染的在線操作。

 

其餘31％的廣告系列使用了惡意附件。

 

“惡意軟體作者傾向於在他們的活動中更喜歡特定類型的文件附件來分發惡意內容，”F-Secure的研究人員強調說。

 

I