Websense ThreatSeeker®智能云還檢測到另外一種形式的惡意攻擊活動�����,在這些攻擊活動中�,攻擊者將惡意附件作為誘餌��,同時設(shè)計了極具吸引力的郵件主題來引起收件人的興趣����,誘使他們打開郵件。Websense安全專家發(fā)現(xiàn)��,Websense ThreatSeeker®智能云攔截到的郵件均以“皇室寶寶”為主題�����,除此之外�,郵件正文中還包含了圖片形式的惡意附件,而該文件本身是一個惡意二進(jìn)制文件��,用來連接命令和控制(C2)基礎(chǔ)架構(gòu),并下載進(jìn)一步的惡意代碼�。如下圖所示:
Websense安全專家提醒用戶,如果收到任何與熱門事件相關(guān)的電子郵件提示或是不明信息����,在點擊鏈接或下載附件之前一定要確定該信息的合法性。此外�����,知名的新聞機(jī)構(gòu)一般不會未經(jīng)請求即向用戶發(fā)送電子郵件���,因此�,用戶應(yīng)謹(jǐn)慎對待來自知名新聞機(jī)構(gòu)的不明郵件�。
攻擊者精心設(shè)計的誘餌總是利用人們對重大事件的好奇心,為保障數(shù)據(jù)安全���,用戶不但需要整合的安全解決方案來檢測并防御通過社交網(wǎng)絡(luò)和電子郵件傳送的誘餌����,還需要警惕收到的不明郵件���。此外,若要了解最新新聞動態(tài)是,用戶應(yīng)盡量選擇直接訪問知名新聞機(jī)構(gòu)����,以確保安全。
重定向
如果用戶點擊了惡意電子郵件中的鏈接��,他們就會被引至中間網(wǎng)站�,然后就會被重定向至托管漏洞利用代碼(如BlackHole漏洞利用工具包)的網(wǎng)站。通常情況下�����,重定向網(wǎng)站往往是被注入惡意代碼的合法網(wǎng)站�,攻擊者這樣做的目的就是利用被入侵網(wǎng)站的聲譽(yù)來進(jìn)行犯罪活動。點擊鏈接時對這些網(wǎng)站進(jìn)行實時分析可以為用戶提供即時保護(hù)���,而且可以在受害者被重定向至漏洞網(wǎng)站之前有效破壞攻擊鏈����。
漏洞利用工具包
Websense安全專家還發(fā)現(xiàn)��,在此次攻擊活動中�����,攻擊者大量使用了BlackHole等常見的漏洞利用工具包,這就使得犯罪分子能夠迅速部署攻擊基礎(chǔ)設(shè)施����,并且可以吸引更多的受害者。一旦用戶訪問了漏洞利用工具包托管網(wǎng)站�,受害者的電腦很可能被攻擊者控制,來發(fā)送惡意代碼��。在這種情況下�����,該網(wǎng)站不僅會發(fā)送Zeus等用來竊取用戶財務(wù)信息的惡意軟件���,還可以利用社會工程學(xué)方法來誘騙受害者安裝假的Adobe Flash Player更新�����。Websense安全專家表示�����,對網(wǎng)頁內(nèi)容和惡意代碼的實時分析則可以保護(hù)用戶免受已知和未知威脅的攻擊���。
木馬文件
一旦漏洞成功入侵受害者電腦���,攻擊者就會利用木馬文件和下載器在受害者電腦上安裝惡意代碼�。到目前為止,Websense ThreatSeeker®智能云檢測到的兩類攻擊活動中����,一種惡意攻擊活動只是簡單地將惡意文件附加在最初的電子郵件誘餌中,另外一種惡意攻擊活動則是利用受害者對誘餌的信賴�����,將他們重定向至提供惡意文件的漏洞利用網(wǎng)站���。為了躲避傳統(tǒng)解決方案的檢測�,攻擊者往往會對這些文件進(jìn)行加密處理��,因此�,企業(yè)需要部署更先進(jìn)的解決方案來識別惡意行為,如Websense的ThreatScope™��。
自動通報
一旦受害者的電腦安裝了惡意代碼����,它就會嘗試進(jìn)行自動通報�,并且會連接C2基礎(chǔ)架構(gòu)����,接收來自攻擊者的命令。相較于在攻擊的初期進(jìn)行攔截����,實時檢測非法出站內(nèi)容可以更有效地阻止惡意代碼的自動通報,從而達(dá)到阻斷攻擊的目的��。
數(shù)據(jù)竊取
攻擊者的最終目的是竊取個人可識別信息(PII)���、企業(yè)機(jī)密數(shù)據(jù)等�����。他們試圖利用慢速“批次處理”來自被入侵網(wǎng)絡(luò)的數(shù)據(jù)或是創(chuàng)建自定義加密程序等方法來竊取數(shù)據(jù)���,然后將其用于進(jìn)一步的攻擊中或是單純獲得犯罪收益。企業(yè)可以部署滴管式DLP��、OCR分析和自定義加密程序檢測等高級功能���,防止數(shù)據(jù)泄露和數(shù)據(jù)竊取��,保護(hù)企業(yè)數(shù)據(jù)安全���。
Websense安全專家指出�����,此類攻擊往往都是伴隨著熱門時事或全球性的新聞的爆發(fā)而發(fā)起的。Websense高級分類引擎(ACE)可以幫助用戶在攻擊的各個階段防范此類新興的網(wǎng)絡(luò)威脅�,確保數(shù)據(jù)安全無虞。Websense安全專家進(jìn)一步表示����,雖然有關(guān)王室嬰兒的官方公告尚未發(fā)布,但是Websense安全實驗室仍將繼續(xù)監(jiān)控此次攻擊活動�����,全面保護(hù)用戶信息安全����。
