基于文档的恶意软件在上升,业务警告
在过去的12个月内检测到的所有恶意文件的近一半(48%)是某种文件,Barracuda Networks的研究人员的电子邮件分析已经揭晓。
研究人员表示,在该研究中确定了超过300,000个独特的恶意文件,该研究人员表示,表明使用基于文档的恶意软件的令人惊叹了令人震惊。
这一趋势似乎正在获得势头,占2019年第一季度检测到的所有恶意文件的59%,而在一年前的同期则为41%。
在最近的网络威胁SonicWall,展出了这种增加的Microsofficefiles的这种数据增加了PDFDocuments的证据。
该报告称,研究人员在2018年发现了超过47,000个PDF和近51,000个办公文件的威胁,代表了不断增长的问题,因为大多数安全控件无法识别和减轻文件中包含的隐藏恶意软件。
在基于文档的恶意软件攻击中,网络犯罪分子使用电子邮件来提供包含在文档本身中隐藏的恶意软件的文档,或者嵌入式脚本从外部网站下载它。
常见类型的恶意软件包括病毒,特洛伊木马,间谍软件,蠕虫软件。2018年12月,安全FirmMalwareBytes的威胁报告警告说,银行特洛伊木马/下载/僵尸网络以及其常见的同谋Trickbot,主要使用电子邮件分发使用PowerShell下载恶意软件的恶意Office文档。
研究人员表示,大多数恶意软件被发送到广泛的传播电子邮件列表中,以广泛的传播电子邮件列表销售,交易,汇总和修改,因为它们通过黑网络移动。
然后使用这些列表来发送恶意软件,使用各种社交工程技术来获取用户打开附加的恶意文档。
打开文档后,将自动安装恶意软件,或者使用大量混淆的宏或脚本从外部源下载并安装它。
还使用链接或其他可点击的项目,但研究人员表示,除恶意软件攻击之外,该方法在网络钓鱼攻击方面更为常见。
研究人员表示,存档文件和脚本文件是基于两个最常见的基于内容的分发方法,注意到攻击者经常使用文件扩展播放技巧以尝试混淆用户并让它们打开恶意文档。
研究人员表示,现代恶意软件攻击是复杂和分层的,需要复杂的系统来检测和阻止它们。捍卫基于文档和其他恶意软件攻击,他们表示组织需要确保他们使用这些安全技术,包括黑名单,垃圾邮件过滤器,网络钓鱼检测和高级防火墙。
研究人员不是垃圾邮件发送者越来越多地使用自己的基础设施,这意味着相同的IP地址通常用于足够长的软件来检测和黑名单。即使在被攻击的网站和僵尸网络中,也可以在检测到足够大量的垃圾模垃圾箱上暂时通过IP攻击。
虽然许多恶意电子邮件似乎是真实的,但研究人员称垃圾邮件过滤器,网络钓鱼检测系统和相关安全软件可以挑选微妙的线索,并帮助阻止潜在的威胁信息和附件到达电子邮件收件箱。
对于附加具有恶意文档的电子邮件,静态和动态代码分析可以接通文档正在尝试下载并运行可执行文件的指示灯,无需任何文档即可进行。研究人员表示,使用启发式或威胁情报系统可以常用的Web地址可以使用启发式或威胁情报系统标记,添加了通过静态分析检测的混淆也可以指示文档是否可能是可疑的。
如果用户打开恶意附件或点击通过下载的链接,则研究人员表示,能够通过标记执行可执行文件来阻止攻击的高级网络防火墙,该机会通过标记可执行文件来实现攻击。