进阶多变的电子邮件攻击，如何利用零信任机制有效防御

Cisco Talos 先前观察到一组针对拉丁美洲国家的新型态的电子邮件攻击活动，攻击者利用开放文件格式（Open Document Format，简称ODF）的恶意软体进行攻击，这些活动使用大量感染组件来传播两种广受欢迎的套装恶意软体和远端访问木马工具 (RAT)：njRAT 和 AsyncRAT。其攻击行为针对拉丁美洲的旅游及旅馆组织。也发现到基于 .NET 的感染链产生器/二进制文件加密器，用于生成近期活动中使用的恶意感染组件，包括针对拉丁美洲的攻击。此类产生器表明作者打算捆绑恶意软体进行攻击，以便运营商、客户和附属机构轻松部署和利用。

这些活动包括启用巨集的 Office 文件，这些文件充当感染的切入点。接下来是 PowerShell 和 VB 脚本的模组链，所有这些都致力于禁用AMSI等防病毒保护功能并最终交付 RAT 有效负载。

此外HP Wolf Security也在后续侦测到相关的行为，攻击者利用OpenDocument的格式伪装与旅馆联系的相关文件，诱使攻击目标的人员点选相关附件并进行附载的交付，进而利用PowerShell和VB Script来进行相关攻击。

图片来源：HP Wolf Security

如HP Wolf Security于文章中描述到的攻击传播链

恶意文件利用电子邮件附件发送。如果用户打开文件，他们会看到一个提示，询问是否应该更新引用其他文件的字段。如果他们对此讯息单击 “是”，则会打开一个 Excel 文件。

图片来源：HP Wolf Security

之后，向用户显示另一个提示，询问是否应该启用或禁用巨集。如果用户允许使用巨集，则会触发传播链，最终导致恶意软体有效负载AsyncRAT的执行。

图片来源：HP Wolf Security

文中提到：看到 OpenDocument 文件被用来分发恶意软体很有趣，因为我们很少在野外看到使用这种文件格式的恶意软体。引人注目的是，防病毒扫描程序检测不到该活动中使用的文件类型，截至 7 月 7 日，VirusTotal 的检测率为 0%。

这是很特别的一个现象，我们可以从HP Wolf Security的文章中了解更多细节，那么对于企业所面临的威胁可以怎么有效的进行防护呢？

首先，我们要了解现有安全产品的防护机制，对于侦测不到的威胁是否有足够的能力进行防护，于先前的文章中防病毒对电子邮件安全有效吗？提到的相关描述我们可以了解到几点：

现阶段，每小时出现 14,000 个新恶意软体
一些 AV 引擎以长达 2 到 16 小时或一整天的巨大间隔更新
多型态产生器可以隐藏来自 AV 扫描的实际病毒

鉴于上述数据， 91% 的网路攻击从电子邮件开始并仍然是恶意行为者的最大攻击媒介也就不足为奇了，因为它便宜、易于使用，并且为组织提供了直接的通信管道。要了解为什么恶意软体仍然如此成功以及恶意行为者如何将其有害脚本/内容传递到用户邮箱，请参阅用于发布它们的主要附件类型列表：

压缩文件（从 17.26% 上升到 38%），
Word 文件（23% – RTF 文档 38%），
电子表单 (17%),
可执行文件 (16%)

看到这里，我们也可以很明显的看到对于长久以来的侦测，并没有此次攻击所使用的档案类型，这也是此攻击型态独特的地方，我们或许开始思考针对这样类型的档案进行控制及封锁，但不幸的是永远没有完整的档案类型清单我们可以进行控制。

2022年3月，日本总务省发布了地方政府信息安全政策指引，该安全政策指引中提到LGWAN (Local Government Wide Area Network) 需注意的关键事项，注意危险因子去除的重要性。

ファイルからテキストのみを抽出（仅从档案中提取文件本文）
サービス等を活用してサニタイズ处理（ファイルを一旦分解した上で危険因子を除去した后、ファイルを再构筑し、分解前と同様なファイル形式に复元する）采用档案净化技术 (移除威胁因子、重建档案、拆解档案并恢复档案原有格式)

此项指引显著的表示需要更有效的控制相关邮件及档案传输安全，其中CDR的技术就特别的重要，当档案经过CDR的清洗后，使用者所接触到的档案，就不再具有威胁，CDR的关键技术可以将相关武器化的档案进行无毒化动作，包含：巨集、连结和内嵌(OLE) 物件或是存在于图片、影片中的物件等等。

另外，我们也可以利用沙箱技术针对未知的威胁进行动态分析，只不过沙箱的处理时间会依照不同的需求而有着不同的回应时间，对于邮件及档案传输的过程中往往会造成延迟的问题，这也是Gartner提到的，利用CDR的技术来避免恶意软体规避沙箱检测的技术及补充其不足的问题。

但并非沙箱就是一个不好的解决方案，可以透过CDR整合现有的沙箱技术，透过CDR及MultiScanning的技术所侦测到的问题档案，可以再转送到沙箱或是EDR进行分析，如此一来对于事前、事中及事后的阶段就会有一个完整的蓝图出现。您可以参考CDR的选择指南，了解到CDR技术的细节。

参考资料：

Cisco Talos Intelligence Group - Comprehensive Threat Intelligence: Malicious Campaign Targets Latin America: The seller, The operator and a curious link

https://threatresearch.ext.hp.com/stealthy-opendocument-malware-targets-latin-american-hotels/#

How Do You Treat Email Attachments? - OPSWAT

Is Anti-Virus Effective for Email Security? - OPSWAT

进阶多变的电子邮件攻击，如何利用零信任机制有效防御相关推荐

这本《零信任网络》上架两个月，一直是程序员们最青睐的网络安全书
<零信任网络>上架两个月了,在京东30日新书热销榜中位列第13位.因为这本书一直稳定的受到程序员们的青睐,所以诚挚的推荐给大家. 零信任网络在不可信网络中构建安全系统在充斥着威胁的网络 ...
零信任，重构网络安全架构！
文章目录一.引言二.传统安全架构的困境三.零信任的概念四.零信任的发展五.零信任架构 5.1 设计/部署原则 5.2 零信任体系架构的逻辑组件 5.3 零信任架构常见方案六.应用场景 6. ...
边界信任模型，零信任模型
边界信任及其弱点边界信任是现代网络中最常见的传统信任模型.所谓边界信任就是明确什么是可信任的设备或网络环境,什么是不可信任的设备或网络环境,并在这两者之间建立"城墙",从而保证不 ...
智安网络详解：零信任网络访问 (ZTNA)原理
传统的基于边界的网络保护将普通用户和特权用户.不安全连接和安全连接,以及外部和内部基础设施部分结合在一起,创建了一个可信区域的假象,很多潜在的安全问题无法解决,越来越多的企业开始转向零信任网络访问来解 ...
一种实现ISA/IEC 62443操作技术标准的零信任应用简化模型
原文标题:一种实现ISA/IEC 62443操作技术标准的零信任应用简化模型.本文译自https://lookbook.tenable.com网站"Simplifying Adoption ...
零信任牢不可破，首届CSA西塞杯攻防挑战赛圆满成功
2022年9月11-12日,CSA国际云安全联盟大中华区首次集合五家零信任的商用产品进行攻防对抗,挑战赛吸引了84支白帽战队,315名选手对系统数据目标发起了猛烈攻击.目标系统中特别被预置了大批漏洞, ...
实施基于零信任网络安全的设备控制
零信任安全是一种数据保护策略,除非系统管理员进行彻底验证,否则网络边界内外的所有设备和实体都不受信任.Device Control Plus 可帮助管理员为其网络实施和自动化零信任安全协议,以确保对来 ...
一文读懂零信任架构的概念、现状和挑战（来自玉符科技CEO专访内容）
2020年,企业高管和CISO们的头号任务就是数据安全和隐私保护,对于拥有海量用户数据的企业来说,数据安全和隐私保护正面临三大挑战:合规.远程办公加速安全边界消失.数字化转型(上云).而零信任正是当下 ...
零信任网络的一个重要功能：信任管理
信任管理是零信任网络的一个重要功能.人们对信任这个概念并不陌生,比如,你会信任自己的家人,但不会信任大街上的陌生人,当然更不可能信任面露凶相的陌生人.为什么会这样?信任是如何产生的? 首先,你确实了解 ...

进阶多变的电子邮件攻击，如何利用零信任机制有效防御

进阶多变的电子邮件攻击，如何利用零信任机制有效防御相关推荐

最新文章

热门文章