梭子鱼网络保护您的业务免受复杂多变的模块化恶意软件攻击。
梭子鱼研究人员发现,自2019年初以来,模块化恶意软件的应用激增。最近一项对梭子鱼用户所遭受电子邮件攻击的分析发现,今年头5个月,已有超过15万个独特的恶意文件。
下文将详细阐述模块化恶意软件和相关解决方案,以帮助您进行检测和阻止攻击。
模块化恶意软件 — 网络罪犯通过电子邮件为载体发送模块化恶意软件,也称为Modular Malware。模块化恶意软件呈现日益增长的趋势,它具有比典型的文档型或Web型恶意软件更强大、更难以捉摸且更危险的体系结构。模块化恶意软件包括并可以选择性地启动不同的有效载荷和功能,这取决于攻击的目标。
大多数恶意软件以文档附件的形式进行传播,以垃圾邮件的形式发送到被黑市贩卖的电子邮件列表账户中。这些电子邮件列表账户在网络黑市中被出售和交易。
一旦打开被感染的文档,恶意软件就会自动安装,或者使用高度模糊的宏/脚本从外部源下载并安装恶意软件。偶尔会使用链接或其它可点击的项,这种方法在网络钓鱼攻击中比在恶意软件攻击中更常见。
随着僵尸网络的兴起,执行网络罪犯提供的命令和为广泛传播而编写的恶意软件,模块化已成为新的规范。恶意软件作者越来越有组织,并继续采用和实施软件行业的实践,包括质量保证和测试,以提高攻击的成功率。为了满足广泛分布的恶意软件文件的多种需求,模块化恶意软件已经发展成为功能更加丰富和灵活的软件。
通常,模块化恶意软件包含一个非常基本的初始有效负载。一旦在系统上建立了立足点,该有效负载就连接到远程C2(命令和控制)服务器,以获得额外的有效负载。这允许C2服务器发送和处理关于系统的信息,并根据该信息选择服务器侧的额外有效负载,如果检测到分析环境,则可能不选择这些负载。这种方法已用于银行木马程序,包括Emotet、TrickBot和CoreBot,以及信息偷窃程序,包括LokiBot和Pony。
检测和阻止模块化恶意软件
快速发展的威胁环境需要多层的保护策略——需要采取避免技术上和人员方面漏洞的一个完整和全面的综合策略——使每个企业拥有最高的电子邮件安全性能,并把遭受复杂攻击(如模块化恶意软件)的风险降到最低。
首先,建议部署先进的入站和出站安全技术,包括恶意软件检测、垃圾邮件过滤器、 防火墙和沙箱。
对于带有恶意文档的电子邮件,静态和动态分析都可以获取文档试图下载并运行可执行文件的指示器。可执行文件的URL通常可以使用启发式或威胁情报系统进行标记。静态分析检测到的混淆也可以指示文档是否可疑。
虽然很多恶意邮件看起来很逼真,但垃圾邮件过滤器和相关安全软件可以捕捉到微妙的线索,帮助阻止潜在的威胁信息和附件进入电子邮件收件箱。如果用户打开恶意附件或单击通往自动下载的链接,能够进行恶意软件分析的高级网络防火墙可在可执行文件试图通过时对其进行标记,从而阻止攻击。
此外,加密和DLP有助于防止意外和恶意的数据丢失。此外,电子邮件归档对于合规性和业务连续性也非常重要。
其次,备份有助于对删除的数据进行恢复,而连续性可确保关键邮件可以在可能发生停机时发送。
第三,通过人工智能拦截可以绕过电子邮件网关的攻击。人工智能多应用于鱼叉式网络钓鱼防御,而DMARC验证可以检测和防止电子邮件和域欺骗。
最后,对于每个企业来说,这一层防御其实最为关键,即将钓鱼模拟和培训作为安全意识培训的一部分。测试即时培训的有效性并评估最易受攻击的用户,确保终端用户了解新类型的攻击,向他们展示如何识别潜在威胁,并将其从安全责任转变为防御威胁的防线。
