信息來(lái)源:mottoin
在人們?nèi)粘9ぷ骱蜕钪卸紩?huì)收到各種郵件,我們應(yīng)如何確定電子郵件中是否包含惡意鏈接或附件�,或者是否試圖用電子郵件來(lái)騙取人們的財(cái)務(wù)或個(gè)人信息?如果發(fā)現(xiàn)收件箱中有惡意郵件����,那應(yīng)該怎么做呢?報(bào)告垃圾郵件并刪除就可以了嗎����?
垃圾郵件分發(fā)FlawedAmmyy
惡意電子郵件通過(guò)互聯(lián)網(wǎng)傳播,就像雜草一般野蠻生長(zhǎng)�。微軟公司最近發(fā)現(xiàn)了一個(gè)新的威脅活動(dòng),其中包含復(fù)雜的感染鏈�����,將臭名昭著的FlawedAmmyy遠(yuǎn)程管理工具(RAT)作為最終的有效載荷�����。威脅活動(dòng)始于一封惡意電子郵件,其中包含.XLS附件和韓語(yǔ)內(nèi)容����。
此前涉及FlawedAmmyy RAT的威脅活動(dòng)一般歸因于黑客組織TA505,在成功執(zhí)行后門(mén)后��,攻擊者能夠遠(yuǎn)程控制設(shè)備�、管理文件、捕獲屏幕��。
感染鏈
惡意.XLS文件通過(guò)電子郵件發(fā)送��,執(zhí)行該文件后會(huì)自動(dòng)啟用一個(gè)宏功能�����,運(yùn)行Windows Installer msiexec.exe用于下載和安裝MSI和MSP包��。
下載的MSI存檔包含一個(gè)經(jīng)過(guò)數(shù)字簽名的可執(zhí)行文件�����,該文件被解壓并執(zhí)行另一個(gè)可執(zhí)行文件wsus.exe����,后者又解壓并運(yùn)行最終有效負(fù)載。根據(jù)微軟安全情報(bào)部門(mén)的說(shuō)法,直接在內(nèi)存中傳輸?shù)淖罱K有效負(fù)載是FlawedAmmyy�,于6月22日檢測(cè)到該樣本。
FlawedAmmy RAT主要的惡意功能包括:
遠(yuǎn)程桌面控制�����;
文件系統(tǒng)管理����;
代理支持�;
音頻聊天。
全球垃圾郵件活動(dòng)屢禁不止
攻擊卡巴斯基的研究報(bào)告�����,在2019年第一季度����,垃圾郵件在全球電子郵件流量中的平均占比略微增長(zhǎng)了0.06個(gè)百分點(diǎn),達(dá) 55.97%����。
2018年Q4至2019年Q1,垃圾郵件占全球郵件流量中的比例
2019年Q1��,垃圾郵件源分布(國(guó)家/地區(qū))
中國(guó)(15.82%)是最大的垃圾郵件來(lái)源地區(qū),其次是美國(guó)(12.64%)����。Top 3常客德國(guó)(5.86%)本季度下降至第五�����,將第三名拱手相讓給俄羅斯(6.98%)��。巴西(6.95%)來(lái)到了第四�����,第六是法國(guó)(4.26%)��,后面依次是阿根廷(3.42%)����、波蘭(3.36%)和印度(2.58%)。越南(2.18%)跌出了榜單�。
2019年Q1,垃圾郵件中的惡意軟件家族Top10
在2019年第一季度�,垃圾郵件中最常見(jiàn)的惡意軟件是Exploit.MSOffice.CVE-2017-11882,占比為7.73%�����。其次是Backdoor.Win32.Androm(7.62%)和Worm.Win32.WBVB(4.80%)。第四名是另一個(gè)Microsoft Office漏洞利用Exploit.MSOffice.CVE-2018-0802�,其占比為(2.81%)。第五是Trojan-Spy.Win32.Noon(2.42%)��。
惡意郵件預(yù)判
電子郵件是社交生活中不可或缺的溝通工具����,各方之間都需要郵件來(lái)傳輸重要文件��。這就招致了一個(gè)問(wèn)題:人們經(jīng)常意識(shí)不到�����,他們每天用以承載重要信息的這些文件類(lèi)型(如Word文檔����、Excel表格和PDF等標(biāo)準(zhǔn)格式),也是黑客們散播惡意軟件的最常用的工具�����。
在我們開(kāi)始確定如何處理惡意電子郵件之前�,應(yīng)該學(xué)會(huì)幾個(gè)通用技巧來(lái)發(fā)現(xiàn)惡意活動(dòng)的危險(xiǎn)信號(hào)����。
發(fā)件人地址不正確
檢查發(fā)件人地址是否與發(fā)件人的名稱(chēng)匹配�,以及公司的域名是否正確。要看到這一點(diǎn)����,須確保接收電子郵件的客戶(hù)端設(shè)置了“顯示發(fā)件人的電子郵件地址”,而不僅僅是顯示名稱(chēng)��。這時(shí)我們需要擦亮雙眼�,因?yàn)槔]件制造者會(huì)制造一些令人信服的技巧。
勿隨意點(diǎn)擊嵌入式鏈接
當(dāng)鼠標(biāo)指針停留在電子郵件中的鏈接上�,不要立即點(diǎn)擊。請(qǐng)?jiān)俅尾亮聊碾p眼�,檢查目標(biāo)網(wǎng)址是否是您想瀏覽的網(wǎng)站,它會(huì)不會(huì)下載一個(gè)惡意文件��,他是否使用了鏈接縮短服務(wù)�?
從郵件內(nèi)容上判斷
切記,天下沒(méi)有免費(fèi)的午餐��。比如根本沒(méi)有參與某活動(dòng)卻中了大獎(jiǎng)�����,這根本就是不可能的。這種垃圾郵件試圖通過(guò)它的內(nèi)容來(lái)實(shí)現(xiàn)釣魚(yú)行為�����,從而給惡意行為者帶來(lái)巨大收益�����。
不要隨意打開(kāi)郵件附件
在任何情況下��,都不要隨意打開(kāi)郵件中的附件��,這是最重要的�。如果您從公司或個(gè)人那里收到未知預(yù)警的附件��,請(qǐng)不要雙擊打開(kāi)它����。如果郵件是來(lái)自與您有業(yè)務(wù)往來(lái)的朋友或公司,則需要與發(fā)件人核對(duì)以確定打開(kāi)附件是否安全�。
