第 26 叨
正文开始之前,先看看以下ABCD哪个或者哪几个文件有可能是恶意文件?
首先,拥有一个“极具诱惑”的名字
一个极具诱惑力的名字,总是能够吸引用户的眼球,这一点正是木马、病毒的初衷。至于诱惑力从何而来,笔者认为至少包括三个方面。
-
第一,和社会热点或者个人兴趣相关。
-
第二,和钱相关。
相较于吃瓜,金钱的吸引力只会有过之而无不及。没办法,谁还不是个勤勤恳恳的打工仔,靠辛勤的劳动换取一份辛苦钱。天上掉馅饼这种事情,能接住还是接住吧。
所以,在看到“工资补贴”、“退税”等字样的时候,“激动的心,颤抖的手”就已经按奈不住了。殊不知,前方早就有一双“无形的黑手”,在等着人们上当受骗。
-
第三,和工作相关。
如果上述两种情况,大家还能强忍好奇心将其搁在抛之脑后的话,那和工作相关的文件就“由不得”打工人了,出于工作的惯性,很多人都会不假思索打开它。
比如HR收到了候选人简历,销售拿到了招标文件时,犹豫一分钟都是对工作的不尊重。
其次,拥有一个以假乱真的“外衣”
除了文件名之外,用户对于文件的另一个直观印象就来源于图标了。俗话说人靠衣装马靠鞍,这个图标就好比是文件的外衣。一件好看的衣裳,对于用户眼中的文件而言,绝对是大大的加分项。
但木马病毒追求的并非华丽的外表,而是足够以假乱真。谁最能取得用户信任,木马病毒往往就“化妆”成谁。
常见的对象也可以分为两类。
-
第一类是穿上常见应用软件的外衣,利用搜索引擎、网站、手机应用市场等渠道进行传播。
今年上半年,奇安信威胁情报中心通过日常分析运营发现多款二次打包并携带木马后门的恶意安装包样本,恶意安装包内包含“向日葵远控”、“钉钉”、“WPS”等常用工具软件。
-
第二类是换上Word、Excel、PDF等办公文档的衣服,利用邮件、即时通信软件鱼目混珠。
根据奇安信威胁情报中心的统计,Word等办公文档的图标,是攻击者首选的伪装类型。
顺带说一句,不同类型的文件有着不同的后缀名,比如Word文档的后缀名是.docx、PPT文档的后缀名是.pptx、常见的可执行程序的后缀名是.exe……
由于绝大多数情况下,木马病毒属于可执行文件,所以当它伪装成办公文档时,一定会夹紧自己的“狐狸尾巴”,漏出来被人看到可就大事不妙了。
需要提醒用户注意的是,很多电脑的设置是默认隐藏后缀名的,导致普通用户并不能一眼看出后缀名的区别。
尤其是有些攻击者善用“阴招”,在原本的真后缀名前面,加上一个假后缀名,用于扰乱用户的注意力。这样一来,原本的.exe后缀被隐藏起来,而伪造的.docx却作为文件名的一部分,直接展现在用户的视野里。
就像下图这样。
最后,拥有“一招毙命”的非对称武器。
-
绝活一:Office宏
-
绝活二:0day漏洞
事情已经很明显了,奇安信威胁情报中心也有绝活——红雨滴云沙箱。(奇安信情报沙箱 (qianxin.com))
红雨滴云沙箱是威胁情报中心红雨滴团队基于多年的APT高级攻防对抗经验、安全大数据、威胁情报等能力,使用软、硬件虚拟化技术开发实现的真正的“上帝模式”高对抗沙箱,每日可完成20W左右的样本处理量,可同时并行处理高达上千条的沙箱分析任务,面向客户提供WEB服务和API接口服务,WEB端用户只需要在沙箱页面完成文件上传和分析配置,30秒即可生成专业分析报告。红雨滴云沙箱提供恶意软件详细的静态、动态行为分析及各类文件详情并提取IOC形成自己的威胁情报,同时支持Windows、Android、Linux等平台下的样本自动化分析。
红雨滴云沙箱依靠威胁情报中心自主知识产权的APT团伙静态分析引擎(RAS引擎),基于ALPHA威胁分析平台完备的威胁情报和互联网基础数据,以及数据覆盖度、信息种类、数据的时间/空间跨度等多重优势,通过专家级的自动化日志分析,快速锁定真正有威胁的攻击者,快速进行画像、持续跟踪,揪出背后隐藏的攻击者,保障了攻防期间研判分析的精准性。
end
作者简介
分享
收藏
点赞
在看
原文始发于微信公众号(奇安信集团):请注意,这些文件可能包含木马病毒!
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论